National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI) e National Cyber Security Centre (NCSC) hanno pubblicato un avviso congiunto per segnalare una campagna globale avviata dal gruppo Fancy Bear (noto anche come APT28 o Strontium e parente di Cozy Bear) a metà 2019 e ancora in corso. I cybercriminali russi, legati al Direttorato principale per l’informazione (GRU), hanno effettuato attacchi “brute force” per accedere alle reti di enti governativi e aziende private.
Fancy Bear: attacchi in Europa e Stati Uniti
Nel comunicato è scritto che gli attacchi sono stati effettuati contro centinaia di obiettivi in Europa e Stati Uniti, inclusi il governo statunitense e il Dipartimento della Difesa. I cybercriminali hanno utilizzato un cluster Kubernetes per eseguire attacchi “password spray” con lo scopo di accedere alle reti interne dopo aver individuato le credenziali tramite tecniche di “forza bruta”.
Il gruppo Fancy Bear ha combinato una serie di tecniche per accedere a file ed email con due note vulnerabilità di Microsoft Exchange (CVE-2020-0688 e CVE-2020-17144) che permettono di eseguire codice arbitrario. Per raggiungere l’obiettivo sono stati sfruttati diversi protocolli, tra cui HTTP/HTTPS, IMAP/IMAPS, POP3 e NTLM. I cybercriminali hanno inoltre usano varie tecniche di offuscamento per evitare l’individuazione degli attacchi.
I tentativi di scoprire le credenziali di accesso sono stati “mascherati” tramite Tor o noti servizi VPN, tra cui CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark e WorldVPN. Tra novembre 2020 e marzo 2021 sono stati eseguiti attacchi senza anonimizzazione, consentendo di scoprire alcuni indirizzi IP del cluster Kubernetes.
La NSA ha elencato alcune misure di sicurezza da attuare per ridurre i rischi, tra cui il cambio di tutte le credenziali di accesso e l’uso dell’autenticazione a due fattori.