I reparti di Intelligence americani denunciano un attacco, su vasta scala, condotto dai reparti di Intelligence Russi (GRU). L’attacco informatico consiste in un’estesa attività di Brute Force su molteplici servizi (tra cui Office365 e Password-Spray attack) per l’accesso abusivo ai sistemi.
E’ stato identificato un cluster Kubernetes per la gestione di questi attacchi nei confronti di Stati Uniti ed Europa, inclusi i Dipartimento della Difesa. Alcuni esempi di organizzazioni sotto attacco:
Una parte significativa di questa attività è stato condotto nei confronti di organizzazioni che utilizzano Microsoft Office 365; tuttavia, sono state presi di mira anche altri fornitori di servizi e server di posta elettronica.
L’accesso iniziale a sistemi e servizi potrebbe essere utilizzato per una varietà di scopi, tra cui persistenza, escalation dei privilegi, ed evasione.
Oltre gli attacchi Brute Force, in alcuni casi sono state sfruttate vulnerabilità come quelle dei server Microsoft Exchange
(CVE 2020-0688 e CVE 2020-17144), per l’esecuzione di codice remoto e il conseguente accesso alle reti interne aziendali.
Dopo il primo accesso, sono state osservate diverse procedure (TTP) per attività di Latera Movement, Defense Evasion ed Exfiltration.
Dopo l’identificazione della coppia Username/Password, gli attaccanti installano webshell e creano nuovi account con maggiori privilegi per ottenere un accesso persistente ai sistemi.
Mentre la NSA afferma che la maggior parte degli attacchi è stata lanciata attraverso la copertura di Tor e più servizi VPN, gli aggressori avrebbero occasionalmente eseguito attacchi direttamente dal cluster Kubernetes.