【知己知彼】五眼聯盟發表聯合報告 一文揭穿俄羅斯間諜組織入侵手段

    五眼聯盟的網絡安全機構近日聯合發表針對俄羅斯間諜組織 APT29 的研究報告,報告內指出 APT29 黑客的入侵手段已有明顯改變,由過往會利用軟硬件的安全漏洞滲透內部網絡,轉移至專門攻擊目標機構的雲端服務。雖然一般企業未必會成為間諜組織的攻擊目標,但這種攻擊手法其實已漸成趨勢,管理層必須加倍防範。

    APT29 過去「戰績彪炳」

    被美國、英國、澳洲、加拿大、新西蘭組成的五眼聯盟盯上的俄羅斯間諜組織 APT29,又稱為 Cozy Bear、Midnight Blizzard 等,這個組織的往積相當彪炳,例如曾利用 Solarwinds 軟件的安全漏洞入侵美國多間大型企業及政府部門,又曾借助盜取的 Microsoft 365 帳戶,刺探北約國家的對外政策。另外還有上年 11 月入侵 Microsoft Exchange Online 帳戶事件,都顯示出 APT29 黑客的入侵技術與時並進,而且亦可看出他們轉移瞄準雲端基建及服務的傾向。

    報告內指出黑客會通過不同方法獲取帳戶登入權限,例如用暴力破解、密碼噴灑方式推測目標機構員工帳戶的登入密碼,其次是利用目標機構內一些未被註銷的帳戶,潛入內部網絡搜集情報。其他還包括盜取對方員工儲存於瀏覽器內的 session token、濫用家用路由器轉換 IP 位址、通過 MFA 疲勞轟炸令員工自行提供多重因素驗證碼等,攻擊手法非常多元化。但無論用哪一種方法入侵,APT29 黑客最終都會在內部網絡安裝 MagicWeb 惡意軟件,迴避目標機構的網絡檢測,受害者遍布歐美及亞洲。

    建議企業從源頭阻截黑客

    正因為 APT29 改變入侵策略,因此報告建議企業及機構應致力減少對方獲得初始訪問權限的機會,從源頭阻止對方入侵。首先要使用強密碼及啟用 MFA 多重因素驗證,並仔細地因應每個員工帳戶的職能設定最低限度的訪問權限。而在盜取 session token 方面,專家建議應縮短代幣的生命周期,雖然會增加員工登入帳戶時的驗證次數,卻能有效阻止黑客入侵,另外,亦應考慮使用人工智能偵測工具,可盡快鎖定異常的網絡活動,減低企業及機構的損失。

    上述的攻擊方式絕非 APT29 專用,反而是現時很多黑客慣用的手法,因此企業管理層可詳細參考這些報告建議措施,相信對提升網絡防禦能力都有很大幫助。

    資料來源:https://www.bleepingcomputer.com/news/security/russian-hackers-shift-to-cloud-attacks-us-and-allies-warn/

    相關文章:【利用作案】國家級黑客善用洗黑錢服務 混合加密貨幣截斷交易痕跡

    #APT29 #CyberSecurity #五眼聯盟 #俄羅斯 #網絡安全 #間諜

    相關文章