Anzeige

Hacker

Verschiedene Geheimdienste der USA haben Unternehmen und öffentliche Einrichtungen vor Angriffen des russischen Militärnachrichtendienstes GRU gewarnt. Die Empfehlungen gehen Tom „TJ“ Jermoluk, CEO von Beyond Identity nicht weit genug.

In dem gemeinsamen Bericht der US-Sicherheitsbehörden wird die Spezialeinheit GTsSS des GRU beschuldigt, von Mitte 2019 bis Anfang 2021 ein Kubernetes-Cluster benutzt zu haben, um weltweit anonymisierte Brute-Force-Zugriffsversuche durchzuführen. Die Ziele der Kampagne waren demnach Hunderte von internationalen Einrichtungen sowie Regierungsbehörden und Militäreinrichtungen in den USA.

Die GTsSS konzentriert sich bei ihren Aktivitäten auf Organisationen, die Microsoft Office 365 Cloud-Services nutzen, betroffen sind jedoch auch andere Service-Provider und E-Mail-Server vor Ort ab, die eine Vielzahl verschiedener Protokolle verwenden. Die Brute-Force-Methode ermöglicht es den GTsSS-Akteuren, auf geschützte Daten, einschließlich E-Mails, zuzugreifen und gültige Anmeldedaten zu identifizieren. Diese Zugangsdaten können dann für zahlreiche Vorhaben wie Erstzugriff, Persistenz, Privilegienerweiterung und das Umgehen von Verteidigungsmaßnahmen verwendet werden.

Um sich gegen die Angriffe effektiv zu schützen, empfehlen die US-Geheimdienste Netzwerkmanagern die Verwendung von Multi-Faktor-Authentifizierung. Weitere Maßnahmen zur Sicherstellung starker Zugriffskontrollen umfassen Zeitüberschreitungs- und Sperrfunktionen, die obligatorische Verwendung starker Passwörter, die Implementierung eines Zero-Trust-Sicherheitsmodells, das zusätzliche Attribute bei der Bestimmung des Zugriffs verwendet, sowie Analysen zur Erkennung anomaler Zugriffe. Zusätzlich sollten Unternehmen in Erwägung ziehen, alle eingehenden Aktivitäten von bekannten Anonymisierungsdiensten wie kommerziellen virtuellen privaten Netzwerken (VPNs) und „The Onion Router“ (TOR) zu verweigern, wenn ein solcher Zugriff nicht mit einer typischen Nutzung verbunden ist.

Diese Maßnahmen sind nach Meinung von TJ Jermoluk, CEO von Beyond Identity, nicht ausreichend und zum Teil falsch:

„Russische GRU-Agenten und andere staatliche Akteure wie die in SolarWinds involvierten sowie finanziell motivierte Angreifer (z. B. Ransomware) verwenden alle die gleichen Passwort-Spraying- und Brute-Force-Techniken – weil sie so effektiv sind. Leider führt ein falsches Verständnis dieser Technik zu erschreckend fehlerhaften Ratschlägen wie in dem NSA-Bericht, in dem teilweise empfohlen wird, die Verwendung ‚stärkerer Passwörter‘ vorzuschreiben.

Bei der Sammlung von Anmeldeinformationen, die der Passwort-Spraying-Kampagne vorausging, wurden sicher auch starke Passwörter gesammelt. Und das russische Kubernetes-Cluster, das bei dem Angriff verwendet wurde, war in der Lage, starke Passwörter zu erzeugen. Die Regierung empfahl daraufhin ein Zero-Trust-Sicherheitsmodell, das zusätzliche Attribute bei der Bestimmung des Zugriffs verwendet, sowie Analysen, um anomale Zugriffe zu erkennen. Dieser Ratschlag erfordert einen Wechsel zu einer starken, kontinuierlichen Authentifizierung. Er erfordert aber auch, dass Unternehmen Passwörter eliminieren, weil sie so vollständig kompromittiert sind, dass man mit ihnen einfach kein Zero Trust erreichen kann.“

Tom „TJ“ Jermoluk, CEO
Tom „TJ“ Jermoluk
CEO, Beyond Identity

Weitere Artikel

FBI

Das FBI warnt vor der Ransomware-Gruppe "Cuba"

49 Organisationen aus fünf Sektoren der kritischen Infrastruktur wurden laut FBI von der Ransomware-Gruppe Cuba angegriffen. Der Schaden beträgt mindestens 43,9 Millionen US-Dollar.
Weihnachten Hacker

Vorsicht: Weihnachtszeit ist Cyber Crime-Zeit

Cyberkriminelle greifen häufig persönliche Daten von Online-Shoppern ab, um sie später zu verkaufen, zum Beispiel auf dem Genesis Marketplace.
Air Gap

Schadprogramme haben es auch auf "Air Gap"-Netzwerke abgesehen

Kritische und sensible Infrastrukturen müssen besonders stark vor Hackern geschützt werden. Eine Möglichkeit ist die Nutzung sogenannter "Air Gap"-Netzwerke.
Hacker

Alle Jahre wieder: Black Friday Shopper im Fadenkreuz von Hackern

Jedes Jahr wieder markiert das lange Wochenende rund um Black Friday und Cyber Monday den Auftakt zum Weihnachts-Shopping. Cyberkriminelle nutzten die Gelegenheit, um mit Phishing, Scamming und Card-Skimming-Angriffen arglose Online-Einkäufer zu täuschen, wie…
Weihnachten Hacker

BSI und BKA: Erhöhtes Risiko für Cyber-Angriffe an Weihnachten

Für die bevorstehenden Weihnachtsfeiertage besteht aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) ein erhöhtes Risiko für Cyber-Angriffe auf Unternehmen und Organisationen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.