MSFT警告称,俄罗斯国家黑客的目标是拜登和特朗普的竞选团队

2020-09-11 22:51:07

微软(Microsoft)警告称,俄罗斯国家黑客组织花式熊(Fight Bear)正瞄准参与美国和英国选举的组织。该组织曾对民主党全国委员会(Democratic National Committee)和世界反兴奋剂机构(World Anti-Dopping Agency)发起粉碎和泄漏攻击,在全球范围内造成数十亿美元损失的NotPetya蠕虫病毒,以及50万台路由器的VPN过滤器漏洞。

微软表示,在上个月的两周时间里,该组织试图攻击28个组织的6900多个账户。在2019年9月至去年6月期间,Fancy Bear瞄准了属于200多个组织员工的数万个账户。黑客使用两种技术--一种被称为“暴力逼迫”,另一种被称为“密码散布”--试图获取攻击目标Office365的登录凭据。到目前为止,没有一次袭击成功。

来自多家公司的安全研究人员普遍认为,Fancy Bear代表俄罗斯GRU军事情报机构工作。GRU与十多年的高级黑客活动有关,其中包括几次对国家安全造成严重损害的黑客活动。行业成员使用各种五颜六色的名称来指代该集团。除了奇幻熊,还有典当风暴,索菲斯,塞德尼特和沙皇团队。微软对这套装备的名字是锶。

微软公司副总裁汤姆·伯特(Tom Burt)在周四发布的一篇帖子中写道,微软威胁情报中心(MSTIC)观察到,从2019年9月到今天,Strontium进行了一系列攻击。与我们在2016年观察到的情况类似,锶正在发起活动,以获取人们的登录凭据或泄露他们的账户,想必是为了帮助情报收集或破坏行动。

锶是微软表示瞄准2020年选举的三个国家支持的黑客组织之一。据信为中华民国服务的锆公司一直把矛头对准与大选有关的知名人士,包括与乔·拜登竞选总统有关的人和国际事务领域的知名领导人。研究人员称,代表伊朗伊斯兰共和国工作的磷公司继续瞄准与唐纳德·特朗普(Donald Trump)总统连任竞选活动有关联的人的个人账户。“磷”公司一直在瞄准与唐纳德·特朗普(Donald Trump)总统竞选连任有关联的人的个人账户,研究人员表示,该公司代表伊朗伊斯兰共和国工作,一直将目标对准与美国总统唐纳德·特朗普(Donald Trump)的连任竞选活动有关的知名人士。

虽然这三个组织的活动都构成了风险,但鉴于该组织先进的技能和技术,以及其厚颜无耻和危险的黑客记录,来自花花熊的活动带来了最大的威胁。微软随附的一篇帖子提供了有关Fancy Bear黑客活动的技术细节,称该组织自2016年以来已经大幅精简和自动化了运营。

四年前,Fancy Bear严重依赖鱼叉式网络钓鱼,也就是发送看起来令人信服的电子邮件,恶搞谷歌或其他知名组织的人员。众所周知,这些电子邮件诱骗了希拉里·克林顿(Hillary Clinton)的总统竞选主席约翰·波德斯塔(John Podesta),它们向收件人谎报他们的账户已被窃取。然后,鱼叉鱼指示他们登录一个后来被证明是假网站的网站,并更改他们的密码。

现在,Fancy Bear主要依赖于执行密码喷洒和暴力强制的工具。这一变化使得规模化运营变得更容易,而且更具匿名性。这些工具通过大约1100个IP地址池分发,其中大部分属于ToR匿名化服务。在周四的技术帖子中,微软研究人员写道:

此基础设施池随着时间的推移而发展,平均每天约有20个IP从其中添加和删除。锶的工具大约每秒在此IP池中轮换一次身份验证尝试。考虑到这项技术的广度和速度,锶似乎已经修改了它的工具,以使用匿名器服务来混淆其活动、逃避跟踪和避免归属。

在8月19日至9月3日的攻击中,微软观察到平均每天有1,294个IP地址,来自500多个地址块和250个自治系统编号。其中一些网块比其他网块使用得更频繁。网络块的过度使用为研究人员提供了一个机会,让他们找出使用匿名化服务的奇幻熊(Fancy Bear)活动。Microsoft使用此Azure Sentinel查询从三个最广泛使用的地址块识别失败的身份验证尝试,并按尝试登录的用户代理对其进行分组。

密码喷射,它尝试查找有效的用户名-密码组合。通常,在几天或几周的过程中,每小时大约有四次尝试。几乎每一次尝试都来自不同的IP地址。

暴力强迫,在几个小时或几天的过程中,每小时向目标账户发送约300次登录尝试。

考虑到2016年花式熊黑客攻击的后果,你可能会认为大多数高价值目标自那以后都采用了多因素身份验证,这要求登录者提供正确的密码,并证明拥有一台设备,或者出示指纹或其他生物特征。但根据微软的说法,你错了。该公司去年10月公布的数据显示,只有不到10%的大型组织账户使用任何形式的MFA。微软表示,启用多因素身份验证可以挫败大多数凭证获取攻击。

研究人员建议,在监控账户中的登录活动时,在这些失败的身份验证中寻找任何类型的可识别模式,并随时间的推移进行跟踪。密码喷洒是民族国家行为者越来越常用的策略。