US-Geheimdienste warnen vor russischen Cyberangriffen

cyber-4444450_1920

Verschiedene Geheimdienste der USA haben Unternehmen und öffentliche Einrichtungen vor Angriffen des russischen Militärnachrichtendienst GRU gewarnt. Die Empfehlungen gehen Tom „TJ“ Jermoluk, CEO von Beyond Identity nicht weit genug.

In dem gemeinsamen Bericht der US-Sicherheitsbehörden wird die Spezialeinheit GTsSS des GRU beschuldigt, von Mitte 2019 bis Anfang 2021 ein Kubernetes-Cluster benutzt zu haben, um weltweit anonymisierte Brute-Force-Zugriffsversuche durchzuführen. Die Ziele der Kampagne waren demnach Hunderte von internationalen Einrichtungen sowie Regierungsbehörden und Militäreinrichtungen in den USA.

Die GTsSS konzentriert sich bei ihren Aktivitäten auf Organisationen, die Microsoft Office 365 Cloud-Services nutzen, betroffen sind jedoch auch andere Service-Provider und E-Mail-Server vor Ort ab, die eine Vielzahl verschiedener Protokolle verwenden.

Die Brute-Force-Methode ermöglicht es den GTsSS-Akteuren, auf geschützte Daten, einschließlich E-Mails, zuzugreifen und gültige Anmeldedaten zu identifizieren. Diese Zugangsdaten können dann für zahlreiche Vorhaben wie Erstzugriff, Persistenz, Privilegienerweiterung und das Umgehen von Verteidigungsmaßnahmen verwendet werden.

US-Geheimdienste empfehlen die Verwendung von Multi-Faktor-Authentifizierung.

Um sich gegen die Angriffe effektiv zu schützen, empfehlen die US-Geheimdienste Netzwerkmanagern die Verwendung von Multi-Faktor-Authentifizierung. Weitere Maßnahmen zur Sicherstellung starker Zugriffskontrollen umfassen Zeitüberschreitungs- und Sperrfunktionen, die obligatorische Verwendung starker Passwörter, die Implementierung eines Zero-Trust-Sicherheitsmodells, das zusätzliche Attribute bei der Bestimmung des Zugriffs verwendet, sowie Analysen zur Erkennung anomaler Zugriffe. Zusätzlich sollten Unternehmen in Erwägung ziehen, alle eingehenden Aktivitäten von bekannten Anonymisierungsdiensten wie kommerziellen virtuellen privaten Netzwerken (VPNs) und „The Onion Router“ (TOR) zu verweigern, wenn ein solcher Zugriff nicht mit einer typischen Nutzung verbunden ist.

„Diese Maßnahmen sind nicht ausreichend und zum Teil falsch“

TJ Jermoluk, CEO von Beyond Identity, erklärt:Russische GRU-Agenten und andere staatliche Akteure wie die in SolarWinds involvierten sowie finanziell motivierte Angreifer (z. B. Ransomware) verwenden alle die gleichen Passwort-Spraying- und Brute-Force-Techniken – weil sie so effektiv sind. Leider führt ein falsches Verständnis dieser Technik zu erschreckend fehlerhaften Ratschlägen wie in dem NSA-Bericht, in dem teilweise empfohlen wird, die Verwendung ‚stärkerer Passwörter‘ vorzuschreiben.“

Beim Erbeuten der Anmeldeinformationen, die der Passwort-Spraying-Kampagne vorausgegangen war, wurden seiner Ansicht nach auch starke Passwörter gesammelt. „Das russische Kubernetes-Cluster, das bei dem Angriff verwendet wurde, war in der Lage, starke Passwörter zu erzeugen. Die Regierung empfahl daraufhin ein Zero-Trust-Sicherheitsmodell, das zusätzliche Attribute bei der Bestimmung des Zugriffs verwendet, sowie Analysen, um anomale Zugriffe zu erkennen. Dieser Ratschlag erfordert einen Wechsel zu einer starken, kontinuierlichen Authentifizierung. Er erfordert aber auch, dass Unternehmen Passwörter eliminieren, weil sie so vollständig kompromittiert sind, dass man mit ihnen einfach kein Zero Trust erreichen kann“, so Jermoluks Fazit.