Anzeige

Hacker

Verschiedene Geheimdienste der USA haben Unternehmen und öffentliche Einrichtungen vor Angriffen des russischen Militärnachrichtendienstes GRU gewarnt. Die Empfehlungen gehen Tom „TJ“ Jermoluk, CEO von Beyond Identity nicht weit genug.

In dem gemeinsamen Bericht der US-Sicherheitsbehörden wird die Spezialeinheit GTsSS des GRU beschuldigt, von Mitte 2019 bis Anfang 2021 ein Kubernetes-Cluster benutzt zu haben, um weltweit anonymisierte Brute-Force-Zugriffsversuche durchzuführen. Die Ziele der Kampagne waren demnach Hunderte von internationalen Einrichtungen sowie Regierungsbehörden und Militäreinrichtungen in den USA.

Die GTsSS konzentriert sich bei ihren Aktivitäten auf Organisationen, die Microsoft Office 365 Cloud-Services nutzen, betroffen sind jedoch auch andere Service-Provider und E-Mail-Server vor Ort ab, die eine Vielzahl verschiedener Protokolle verwenden. Die Brute-Force-Methode ermöglicht es den GTsSS-Akteuren, auf geschützte Daten, einschließlich E-Mails, zuzugreifen und gültige Anmeldedaten zu identifizieren. Diese Zugangsdaten können dann für zahlreiche Vorhaben wie Erstzugriff, Persistenz, Privilegienerweiterung und das Umgehen von Verteidigungsmaßnahmen verwendet werden.

Um sich gegen die Angriffe effektiv zu schützen, empfehlen die US-Geheimdienste Netzwerkmanagern die Verwendung von Multi-Faktor-Authentifizierung. Weitere Maßnahmen zur Sicherstellung starker Zugriffskontrollen umfassen Zeitüberschreitungs- und Sperrfunktionen, die obligatorische Verwendung starker Passwörter, die Implementierung eines Zero-Trust-Sicherheitsmodells, das zusätzliche Attribute bei der Bestimmung des Zugriffs verwendet, sowie Analysen zur Erkennung anomaler Zugriffe. Zusätzlich sollten Unternehmen in Erwägung ziehen, alle eingehenden Aktivitäten von bekannten Anonymisierungsdiensten wie kommerziellen virtuellen privaten Netzwerken (VPNs) und „The Onion Router“ (TOR) zu verweigern, wenn ein solcher Zugriff nicht mit einer typischen Nutzung verbunden ist.

Diese Maßnahmen sind nach Meinung von TJ Jermoluk, CEO von Beyond Identity, nicht ausreichend und zum Teil falsch:

„Russische GRU-Agenten und andere staatliche Akteure wie die in SolarWinds involvierten sowie finanziell motivierte Angreifer (z. B. Ransomware) verwenden alle die gleichen Passwort-Spraying- und Brute-Force-Techniken – weil sie so effektiv sind. Leider führt ein falsches Verständnis dieser Technik zu erschreckend fehlerhaften Ratschlägen wie in dem NSA-Bericht, in dem teilweise empfohlen wird, die Verwendung ‚stärkerer Passwörter‘ vorzuschreiben.

Bei der Sammlung von Anmeldeinformationen, die der Passwort-Spraying-Kampagne vorausging, wurden sicher auch starke Passwörter gesammelt. Und das russische Kubernetes-Cluster, das bei dem Angriff verwendet wurde, war in der Lage, starke Passwörter zu erzeugen. Die Regierung empfahl daraufhin ein Zero-Trust-Sicherheitsmodell, das zusätzliche Attribute bei der Bestimmung des Zugriffs verwendet, sowie Analysen, um anomale Zugriffe zu erkennen. Dieser Ratschlag erfordert einen Wechsel zu einer starken, kontinuierlichen Authentifizierung. Er erfordert aber auch, dass Unternehmen Passwörter eliminieren, weil sie so vollständig kompromittiert sind, dass man mit ihnen einfach kein Zero Trust erreichen kann.“

Tom „TJ“ Jermoluk, CEO
Tom „TJ“ Jermoluk
CEO, Beyond Identity

Weitere Artikel

Spyware

Neue Windows-Spyware verbreitet sich über Anzeigen in Suchergebnissen

Sicherheitsexperten von Bitdefender haben eine neue Form von Malware entdeckt, die Windowscomputer über Werbeanzeigen in den Suchergebnissen infiziert.
Ransomware

Ransomware: Zahl der Angriffe erneut gestiegen

Nach heftigen Angriffen zu Beginn des Jahres (Stichwort: Solar Winds) zeigt sich auch im Q2 2021 kein Abschwächen in Sachen Ransomware. Im Gegenteil: Die Bedrohungslandschaft hat sich verschärft und die Gruppen neu profiliert.
Hackerangriff

Kampf gegen Cybercrime: Stärkere Regulierung von Kryptowährungen

Aufgrund der steigenden Anzahl krimineller Aktivitäten im Cyberraum – z.B. Geldwäsche, Finanzierung von Terrorismus etc. – hat die EU-Kommission jüngst eine Reihe von Gesetzesvorschlägen herausgegeben, die Transaktionen mittels Kryptowährungen wie Bitcoin…
Hackerangriff

Chinesische Angreifer attackieren Telkos mit dem Ziel umfassender Cyberspionage

Cybereason, Unternehmen beim betriebszentrierten Schutz vor Cyberangriffen, ist es gelungen, verschiedene bislang nicht anderweitig identifizierte Cyberangriffe aufzudecken, die große Telekommunikationsanbieter in ganz Südostasien infiltrieren.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.