米国 (NSA, CISA, FBI) 英国 (NCSC) が共同で「ロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開している」と公表していますね。

こんにちは、丸山満彦です。

米国 (NSA, CISA, FBI) 英国 (NCSC) が共同でロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開と公表していますね。

このキャンペーンの標的は、米国政府や国防総省の組織を含む、世界中の数百の米国および外国（主に欧州）の組織のようですね。。。

 

■ 米国

発表です...

● Department of Defence

・2021.07.01 [PDF] Russian GRU Conducting Global Brute Force Campaign to Compromise Enterprise and Cloud Environments

エグゼクティブサマリーだけ対訳

Executive summary	エグゼクティブサマリー
Since at least mid-2019 through early 2021, Russian General Staff Main Intelligence Directorate (GRU) 85th Main Special Service Center (GTsSS), military unit 26165, used a Kubernetes® cluster to conduct widespread, distributed, and anonymized brute force access attempts against hundreds of government and private sector targets worldwide. GTsSS malicious cyber activity has previously been attributed by the private sector using the names Fancy Bear, APT28, Strontium, and a variety of other identifiers. The 85th GTsSS directed a significant amount of this activity at organizations using Microsoft Office 365® cloud services; however, they also targeted other service providers and onpremises email servers using a variety of different protocols. These efforts are almost certainly still ongoing.	少なくとも2019年半ばから2021年初めにかけて、ロシア軍参謀本部主要情報局（GRU）第85主要特殊サービスセンター（GTsSS）の軍事ユニット26165が、Kubernetes®クラスターを使用して、世界中の数百の政府機関や民間企業のターゲットに対して、広範囲に分散し、匿名化されたブルートフォースによるアクセス試行を行いました。GTsSSの悪質なサイバー活動は、これまでに民間企業によってFancy Bear、APT28、Strontiumなどの名称で公表されています。第85次GTsSSは、この活動の大部分をMicrosoft Office 365®のクラウドサービスを利用している組織に向けて行いましたが、その他のサービスプロバイダーや、さまざまなプロトコルを使用している社内のメールサーバーも標的としていました。これらの活動は現在も継続していると思われます。
This brute force capability allows the 85th GTsSS actors to access protected data, including email, and identify valid account credentials. Those credentials may then be used for a variety of purposes, including initial access, persistence, privilege escalation, and defense evasion. The actors have used identified account credentials in conjunction with exploiting publicly known vulnerabilities, such as exploiting Microsoft Exchange servers using CVE 2020-0688 and CVE 2020-17144, for remote code execution and further access to target networks. After gaining remote access, many well-known tactics, techniques, and procedures (TTPs) are combined to move laterally, evade defenses, and collect additional information within target networks.	この総当たり攻撃能力により、第85GTsSSのアクターは、電子メールなどの保護されたデータにアクセスし、有効なアカウント認証情報を特定することができます。これらの認証情報は、初期アクセス、持続的なアクセス、特権の拡大、防御の回避など、さまざまな目的で使用されます。識別されたアカウント情報は、CVE 2020-0688やCVE 2020-17144を利用したMicrosoft Exchangeサーバの悪用など、一般に知られている脆弱性の悪用と組み合わせて、リモートコードの実行やターゲットネットワークへのさらなるアクセスに利用されています。リモートアクセスを獲得した後は、よく知られている多くの戦術、技術、手順（TTP）を組み合わせて、ターゲットネットワーク内で横方向に移動したり、防御を回避したり、さらに情報を収集したりします。
Network managers should adopt and expand usage of multi-factor authentication to help counter the effectiveness of this capability. Additional mitigations to ensure strong access controls include time-out and lock-out features, the mandatory use of strong passwords, implementation of a Zero Trust security model that uses additional attributes when determining access, and analytics to detect anomalous accesses. Additionally, organizations can consider denying all inbound activity from known anonymization services, such as commercial virtual private networks (VPNs) and The Onion Router (TOR), where such access is not associated with typical use.	ネットワーク管理者は、この能力の有効性に対抗するために、多要素認証の使用を採用・拡大する必要があります。強力なアクセス制御を実現するための追加的な緩和策としては、タイムアウトやロックアウト機能、強力なパスワードの使用義務、アクセスを決定する際に追加の属性を使用するゼロトラスト・セキュリティ・モデルの導入、異常なアクセスを検出するための分析などがあります。さらに、一般的な使用目的ではない場合には、商用の仮想プライベートネットワーク（VPN）やオニオン・ルーター（TOR）など、既知の匿名化サービスからの流入をすべて拒否することも検討できます。

 

● National Security Agent; NSA

・2021.07.01 NSA, Partners Release Cybersecurity Advisory on Brute Force Global Cyber Campaign

 

アドバイザリーと技術ガイド

・Cybersecurity Advisories & Technical Guidance

 

● Cybeserucity and Infrastracture Security Agent; CISA

・2021.07.01 NSA-CISA-NCSC-FBI Joint Cybersecurity Advisory on Russian GRU Brute Force Campaign

 

● Federal Bureau of Investigation; FBI

・2021.07.01 Partners Release Cybersecurity Advisory on Brute Force Global Cyber Campaign by Russian Intelligence

 

■ 英国

● National Cyber Security Centre; NCSC

・2021.07.01 NCSC joins US partners to expose global brute force campaign by Russian Intelligence Services

NSA, CISA, FBI and the NCSC publish advice for network defenders to help protect their systems.