NSA : Russian GRU ハッカーたちは Kubernetes を悪用してブルートフォースを仕掛ける

NSA : Russian GRU hackers use Kubernetes to run brute force attacks

2021/07/01 BleepingComputer — National Security Agency (NSA) は、ロシアの国家に支援されるハッカーたちが。米国のネットワークから電子メールやファイルを盗むために、ブルートフォース攻撃を行っていると警告している。NSA は、7月1日に発表した勧告のにおいて、Russian GRU の 85th Main Special Service Center (GTsSS) の軍事ユニット 26165 が、2019年から Kubernetes のクラスターを悪用することで、米国政府や国防総省などの組織にパスワード・スプレー攻撃を行っていると述べた。

NSA は、「GTsSS による悪意のサイバー活動は、Fancy Bear / APT28 / Strontium といった民間の活動により構成される。85th GTsSS の活動は、かなりの部分を Microsoft Office 365 に向けていたが、その他のサービス・プロバイダーや、各種のオンプレミス・メールサーバーも標的にしていた。そして、これらの活動は、ほぼ確実に現在も継続している」と述べている。このブルートフォース攻撃により、Microsoft 365 などのクラウド・サービスのアカウントを侵害した後に、既知の脆弱性を悪用した攻撃を行うことで、企業や政府機関のネットワークにアクセスしていく。

この攻撃においては、Microsoft Exchange の脆弱性 CVE-2020-0688 / CVE-2020-17144 が悪用されるが、それらによりリモート・コードの実行などが引き起こされる。NSA によると、アクセス権を獲得した脅威アクターは、ネットワーク内で横方向に移動しながら、永続性を持たせるために reGeorg Web シェルを展開し、他の認証情報を採取した後に、ファイルを盗み出すとのことだ。具体的に言うと、Office 365 の電子メールなどを、リモートのコンピュータに流出させることになる。

なお、攻撃時の発信元を難読化するために、この Kubernetes クラスターは、TOR / CactusVPN / IPVanish / NordVPN/ ProtonVPN / Surfshark / WorldVPN などのサービスを介してブルートフォース攻撃を行う。NSA によると、2020年11月から2021年3月の間に、ハッカーたちが匿名化サービスを使用せずにブルートフォース攻撃を行ったことで、ロシアの GTsSS の Kubernetes クラスターで使用されている IP アドレスを把握したと述べている。

この記事は、Kubernetes クラスター攻撃を防御するための、NSA による推奨案も示しています。まず、多要素認証 (MFA) の使用範囲を拡大し、盗まれた認証情報の使用を制限するとともに、ゼロトラストのセキュリティ・モデルを導入することだと述べています。

%d bloggers like this: