美英警告：俄罗斯正利用K8s丛集进行暴力破解以渗透全球组织

美国国安局（NSA）、网络安全及基础设施安全局（CISA）、联邦调查局（FBI）与英国国家网络安全中心（NCSC），在7月1日联手发布一份研究报告，详述了俄罗斯情报局（GRU）如何透过旗下的骇客组织Fancy Bear，利用Kubernetes容器丛集来执行大规模且分散式的暴力破解攻击，企图渗透全球数百个-机关及私人组织。

美国已将过去被资安业者命名为Fancy Bear、APT28或Strontium的骇客组织，认定是GRU旗下的26165部队。受到Fancy Bear锁定的组织虽然扩及全球，但主要仍位于美国与欧洲，它们可能是-或军事单位、政党或政治顾问、军事承包商、能源公司、物流公司、智库、高等教育组织、律师事务所或媒体等。

其实Fancy Bear的行动从2019年中即展开，迄今未曾停歇，骇客们透过外泄的凭证或暴力破解来取得入侵组织的通行证，尽管暴力破解并非新技术，但Fancy Bear却利用热门的Kubernetes容器丛集，来发动暴力破解攻击。

根据美/英情报机构的分析，Fancy Bear借由开采CVE 2020-0688与CVE 2020-17144等Microsoft Exchange安全漏洞，或者是使用外泄/购买的凭证来进入受害组织，也建立了一个Kubernetes丛集，执行大规模且分散式的暴力破解攻击。

该Kubernetes丛集是透过Tor网络或是商业的VPN服务，来进行大规模的密码泼洒（Password Spraying）攻击，以避免遭到追踪，由于相关攻击相当具有弹性，使得骇客得以绕过基于入侵指标（IOC）的缓解措施，因此，除了封锁涉及特定指标的活动外，美/英也建议各大组织应该要考虑，拒绝所有来自已知的Tor节点或陌生的VPN流量。报告也公布了Fancy Bear常用的10个Kubernetes节点（如下图）。

资料来源_NSA, CISA, FBI, & NCSC

根据该报告，在取得凭证之后，Fancy Bear继之企图常驻于受害系统，于目标网络中横向移动，躲避侦测，并窃取各种重要资讯。

美/英呼吁各大组织应该要强化自家的资安，方法与各大资安业者的建议大同小异，包括使用双因素认证、建立强大的密码、限制密码输错次数、变更所有的预设凭证、采取适当的网络隔离政策，以及以自动化工具来稽核存取纪录等。