В этом руководстве подробно описываются последние тактики, техники и процедуры (TTP) группы, широко известной как APT29, также известной как Midnight Blizzard, the Dukes или Cozy Bear.
Национальный центр кибербезопасности Великобритании (NCSC) и международные партнеры оценивают, что APT29 является группой кибершпионажа, почти наверняка являющейся частью SVR, элемента российских разведывательных служб. Агентство национальной безопасности США (NSA), Агентство кибербезопасности и инфраструктуры безопасности США (CISA), Национальные силы кибербезопасности США (CNMF), Федеральное бюро расследований (ФБР), Австралийский центр кибербезопасности Австралийского управления связи (ACSC ASD), Канадский центр кибербезопасности (CCCS) и Новозеландский национальный центр кибербезопасности (NCSC) согласны с этой ссылкой и деталями, представленными в этой рекомендации.
В этом руководстве представлен обзор TTP, развернутых субъектом для получения начального доступа к облачной среде, и включены рекомендации по обнаружению и предотвращению этой активности.
Предыдущие действия участников
NCSC ранее подробно описал, как киберпреступники SVR нацеливались на правительственные учреждения, аналитические центры, здравоохранение и энергетику для получения разведданных. Теперь стало известно, что киберпреступники SVR расширяют сферу своих действий, включая авиацию, образование, правоохранительные органы, местные советы и советы штатов, правительственные финансовые департаменты и военные организации.
Киберпреступники SVR также известны:
- компрометация цепочки поставок программного обеспечения SolarWinds
- деятельность, нацеленная на организации, разрабатывающие вакцину против COVID-19
Развивающиеся TTPS
По мере того, как организации продолжают модернизировать свои системы и переходят на облачную инфраструктуру, SVR адаптируется к этим изменениям в операционной среде.
Им приходится выходить за рамки традиционных средств начального доступа, таких как использование уязвимостей программного обеспечения в локальной сети, и вместо этого ориентироваться на сами облачные сервисы.
Чтобы получить доступ к большинству облачных сетей жертв, субъекты должны сначала успешно пройти аутентификацию у облачного провайдера. Отказ в первоначальном доступе к облачной среде может помешать SVR успешно скомпрометировать свою цель. В отличие от этого, в локальной системе большая часть сети обычно подвергается воздействию субъектов угроз.
Ниже более подробно описывается, как сотрудники СВР адаптируются для продолжения своих киберопераций с целью получения разведданных. Эти ТТП наблюдались в течение последних 12 месяцев.
Доступ через сервис и неактивные учетные записи
Предыдущие кампании SVR показали, что злоумышленники успешно использовали перебор (T1110) и ввод паролей для доступа к учетным записям служб. Этот тип учетной записи обычно используется для запуска приложений и служб и управления ими. За ними не стоит пользователь-человек, поэтому их нелегко защитить с помощью многофакторной аутентификации (MFA), что делает эти учетные записи более уязвимыми для успешной компрометации. Учетные записи служб часто также имеют высокие привилегии в зависимости от того, за управление какими приложениями и службами они отвечают. Получение доступа к этим учетным записям предоставляет субъектам угрозы привилегированный начальный доступ к сети для запуска дальнейших операций.
Кампании SVR также нацелены на неактивные учетные записи, принадлежащие пользователям, которые больше не работают в организации-жертве, но чьи учетные записи остаются в системе. (T1078.004).
После принудительного сброса пароля для всех пользователей во время инцидента также были замечены участники SVR, которые входили в неактивные учетные записи и следовали инструкциям по сбросу пароля. Это позволило участнику восстановить доступ после действий по устранению последствий инцидента.
Аутентификация токеном на основе облака
Доступ к учетной записи обычно аутентифицируется либо с помощью имени пользователя и пароля, либо с помощью системных токенов доступа. NCSC и партнеры наблюдали, как киберпреступники SVR использовали токены для доступа к учетным записям своих жертв без необходимости ввода пароля (T1528).
Время действия системных токенов по умолчанию варьируется в зависимости от системы, однако облачные платформы должны позволять администраторам регулировать время действия в соответствии с потребностями своих пользователей. Более подробную информацию об этом можно найти в разделе “Меры по смягчению последствий” данного руководства.
Регистрация новых устройств в облаке
Несколько раз SVR успешно обходила аутентификацию по паролю в личных учетных записях, используя распыление паролей и повторное использование учетных данных. Затем киберпреступники SVR также обходят MFA с помощью техники, известной как “бомбардировка MFA” или “усталость от MFA”, при которой злоумышленники повторно отправляют запросы MFA на устройство жертвы, пока жертва не примет уведомление (T1621).
Как только субъект обошел эти системы, чтобы получить доступ к облачной среде, было замечено, что участники SVR регистрируют свое собственное устройство в качестве нового устройства в облачном клиенте (T1098.005). Если правила проверки устройства не настроены, участники SVR могут успешно зарегистрировать свое собственное устройство и получить доступ к сети.
При настройке сети с использованием политик регистрации устройств были случаи, когда эти меры защищали от участников SVR и лишали их доступа к облачному арендатору.
Локальные прокси
Поскольку средства защиты сетевого уровня улучшают обнаружение подозрительной активности, сотрудники SVR изучили другие способы оставаться скрытными в Интернете. TTP, связанный с этим субъектом, – это использование локальных прокси (T1090.002). Локальные прокси-серверы обычно создают впечатление, что трафик исходит от IP-адресов в диапазонах интернет-провайдера (ISP), используемых для абонентов широкополосной связи в жилых помещениях, и скрывают истинный источник. Это может затруднить распознавание вредоносных подключений от обычных пользователей. Это снижает эффективность сетевых средств защиты, которые используют IP-адреса в качестве индикаторов компрометации, и поэтому важно учитывать различные источники информации, такие как ведение журнала на основе приложений и хостов, для обнаружения подозрительной активности.
Заключение
Рекомендации в этом отчете указывают на то, что хорошее знание основ кибербезопасности может предотвратить даже такую сложную угрозу, как SVR, субъект, способный нарушить глобальную цепочку поставок, такую как компромисс SolarWinds 2020 года.
Для организаций, которые перешли на облачную инфраструктуру, первой линией защиты от такого субъекта, как SVR, должна быть защита от TTP SVR для начального доступа. Следуя мерам по смягчению последствий, описанным в этом отчете, организации окажутся в более выгодном положении для защиты от этой угрозы.
Как только SVR получит первоначальный доступ, субъект сможет развертывать высокоразвитые возможности после компрометации, такие как MagicWeb, о чем сообщалось в 2022 году. Поэтому для сетевых защитников особенно важно противодействовать начальным векторам доступа SVR.
CISA также подготовила руководство в рамках своего проекта Secure Cloud Business Applications (SCuBA), который предназначен для защиты активов, хранящихся в облачных средах.
Некоторые из TTP, перечисленных в этом отчете, такие как локальные прокси и использование системных учетных записей, аналогичны тем, о которых Microsoft сообщала совсем недавно, в январе 2024 года.
MITRE ATT& CK®
Этот отчет составлен с использованием MITRE ATT & CK® framework, доступной во всем мире базы знаний о тактике и приемах противника, основанной на реальных наблюдениях.
Тактика | ID | Техника | Процедура |
---|---|---|---|
Доступ с учетными данными | T1110 | Грубое принуждение | SVR используют распыление паролей и грубое принуждение в качестве начального вектора заражения. |
Первоначальный доступ | T1078.004 | Действительные учетные записи: Облачные учетные записи | SVR используют скомпрометированные учетные данные для получения доступа к учетным записям облачных сервисов, включая системные и неактивные учетные записи. |
Доступ с учетными данными | T1528 | Украсть токен доступа к приложению | SVR используют украденные токены доступа для входа в учетные записи без необходимости ввода паролей. |
Доступ с учетными данными | T1621 | Генерация запроса на многофакторную аутентификацию | SVR повторно отправляет запросы MFA на устройство жертвы до тех пор, пока жертва не примет уведомление, предоставляя SVR доступ к учетной записи. |
Командование и контроль | T1090.002 | Прокси: внешний прокси | SVR используют открытые прокси в локальных диапазонах IP-адресов, чтобы соответствовать ожидаемым пулам IP-адресов в журналах доступа. |
Постоянство | T1098.005 | Манипулирование учетной записью: регистрация устройства | SVR пытаются зарегистрировать свое собственное устройство в облачном клиенте после получения доступа к учетным записям. |
Смягчение последствий и обнаружени
Для защиты от действий, описанных в этом руководстве, будет полезен ряд мер по смягчению последствий:
- Используйте многофакторную аутентификацию (/ 2-факторную аутентификацию / двухэтапную проверку), чтобы уменьшить влияние взлома пароля. Смотрите руководство NCSC: Многофакторная аутентификация для онлайн-сервисов и настройка двухэтапной проверки (2SV)
- Учетные записи, которые не могут использовать 2SV, должны иметь надежные уникальные пароли. Учетные записи пользователей и системы следует отключать, когда они больше не требуются, с внедрением процесса “присоединения, перемещения и увольнения” и регулярных проверок для выявления и отключения неактивных / бездействующих учетных записей.Смотрите руководство NCSC: Управление идентификацией и доступом
- Учетные записи системы и службы должны реализовывать принцип наименьших привилегий, обеспечивая ограниченный доступ к ресурсам, необходимым для функционирования службы.
- Следует создать учетные записи службы Canary, которые выглядят как действительные учетные записи службы, но никогда не используются законными службами. Мониторинг и оповещение об использовании этих учетных записей обеспечивает высокую степень достоверности сигнала о том, что они используются незаконно и должны быть срочно расследованы.
- Продолжительность сеанса должна быть как можно короче, чтобы сократить возможности злоумышленника использовать украденные токены сеанса. Это должно сочетаться с подходящим методом аутентификации, который обеспечивает баланс между обычной аутентификацией пользователя и опытом работы с пользователем.
- Убедитесь, что политики регистрации устройств настроены таким образом, чтобы разрешать регистрацию только авторизованным устройствам. По возможности используйте регистрацию с нулевым касанием, или, если требуется самостоятельная регистрация, используйте надежную форму 2SV, устойчивую к фишингу и быстрой атаке. Следует запретить (повторную) регистрацию старых устройств, когда они больше не требуются. Смотрите Руководство NCSC: Подготовка и распространение устройств
- Учитывайте различные источники информации, такие как события приложений и журналы на основе хостов, чтобы помочь предотвратить, обнаружить и расследовать потенциальное вредоносное поведение. Сосредоточьтесь на источниках информации и индикаторах компрометации, которые имеют более высокий процент ложных срабатываний. Например, поиск изменений в строках пользовательского агента, которые могут указывать на перехват сеанса, может быть более эффективным, чем попытки идентифицировать соединения с подозрительных IP-адресов. Смотрите Руководство NCSC: Введение в ведение журнала в целях безопасности
Отказ от ответственности
Этот отчет основан на информации, полученной от NCSC и отраслевых источников. Любые выводы и рекомендации NCSC были предоставлены не с целью избежать всех рисков, и следование рекомендациям не устранит весь такой риск. Ответственность за информационные риски всегда остается за соответствующим владельцем системы.
Эта информация не подпадает под действие Закона о свободе информации 2000 года (FOIA) и может быть исключена в соответствии с другим информационным законодательством Великобритании.