美国国家安全局 (NSA)、网络安全基础设施安全机构 CISA、联邦调查局和英国国家网络安全中心 (NCSC) 联合警告说,俄罗斯情报机构的 GRU 黑客继续对世界各地的政府和私人实体进行暴力攻击。
包括 NSA 在内的政府机构联合警告说,至少自 2019 年年中以来,GRU 85 主要特殊服务中心 (GTsSS) 下的 26165 单元一直在使用 Kubernetes 集群继续对世界各地的组织进行暴力攻击。 Kubernetes Cluster 是一个开源容器编排系统,可以部署、扩展和管理容器应用程序。这意味着一组运行 Kubernetes 的节点系统,Unit 26165 继续暴力攻击,通过这个 Kubernetes 集群中的各种 VPN(CactusVPN、IPVanish、NordVPN、ProtonVPN、Surfshark、WorldVPN)服务进行混淆,即有
GRU的具体网络攻击流程是先发起暴力攻击,确定Kubernetes集群上的有效证书,然后利用获得的证书,渗透Exchange服务器中的已知漏洞,例如远程代码执行漏洞,渗透政府机构。或企业网络。接下来,它会部署一个 reGeorg Web shell,它会在您的 Intranet 上创建一个 Socks 代理以保持入侵,获取其他凭据并使用这些凭据访问内部电子邮件服务器。
据称,26165 部队在 2020 年 11 月至 2021 年 3 月期间在不使用 VPN 服务的情况下进行了暴力攻击。 在这种情况下,针对美国政府和军事组织、政治顾问、政党、国防承包商、能源公司、物流公司的攻击,认为坦克、高等教育机构、律师事务所、媒体公司等正在从特定的 IP 地址中识别出来。
根据 NSA 和其他机构的说法,GTsSS 网络攻击单位被称为 APT28、Fancy Bear 和 Strontium。 2020 年 8 月,美国国家安全局警告说,用 Fancy Bear 制作的恶意工具威胁到国家安全。相关信息可以在这里找到。
Add comment