In einem gemeinsamen Statement warnen amerikanische und britische Behörden vor einer Cyber-Angriffskampagne. Der Advanced Threat Actor (APT) APT28, auch bekannt als Fancy Bear oder Strontium, verwende ein Kubernetes-Cluster für Brute-Force-Angriffe gegen hunderte von Zielen weltweit. Im Visier stehen demnach insbesondere Einrichtungen in den USA und Europa, darunter Energie- und Logistik-Firmen, Bildungs- und Regierungseinrichtungen sowie militärische Organisationen.

Die Warnung, die gemeinsam von der National Security Agency (NSA), der Cybersecurity and Infrastructure Security Agency (CISA), dem FBI und dem britischen National Cyber Security Centre (NCSC) veröffentlicht wurde, führt die Kampagne auf die APT-Gruppe zurück, die seit längerem verdächtigt wird, Verbindungen zum Generalstab des russischen Militärgeheimdienstes GRU zu haben.

Die laufenden Angriffe zielen auf Cloud-Dienste wie Office 365 ab, um Passwörter zu stehlen, heisst es in der Warnung (PDF). Aber auch andere Service-Provider und lokale E-Mail-Server würden angegriffen. Die Kampagne laufe seit mindestens Mitte 2019 und sei "mit ziemlicher Sicherheit noch im Gang", schreiben die Security-Behörden. 

Nach der Publikation der Warnung gab die russische Botschaft in Washington eine Erklärung auf Facebook heraus, in der sie die Vorwürfe "kategorisch" zurückwies: "Wir betonen, dass der Kampf gegen Cyberkriminalität eine inhärente Priorität für Russland und ein integraler Bestandteil seiner staatlichen Politik zur Bekämpfung aller Formen von Kriminalität ist."

Die Gruppe setzte Brute-Force-Angriffe ein, um gültige Anmeldedaten zu identifizieren. Mit diesen Zugangsdaten könnten sich die Angreifer dann weiter im Unternehmen bewegen, ihre Privilegien eskalieren und Daten sammeln, heisst es in der Publikation der Behörden.

Dabei würden sie auch bekannte Schwachstellen, wie die Lücken in Microsoft Exchange Server, ausnutzen, die eine remote Code-Ausführung ermöglichen.

Die Behörden schreiben weiter, dass der Kubernetes-Cluster, der für die Angriffe verwendet werde, Brute-Force-Authentifizierungsversuche über Tor und eine Reihe kommerzieller VPN-Dienste weiterleite, um seine Herkunft zu verschleiern.

Um die Gefahr abzumindern, raten die Behörden somit, den gesamten eingehenden Verkehr von bekannten Tor-Knoten und öffentlichen VPN-Diensten zu Exchange-Servern oder Portalen zu verweigern, die normalerweise nicht diese Art von Zugriff sehen. Ausserdem sollten IT-Verantwortliche die Verwendung von Multi-Faktor-Authentifizierung einführen beziehungsweise ausweiten. Als weitere Massnahmen empfehlen die Behörden Time-Out- und Lock-Out-Funktionen sowie Analysen, um anomale Zugriffe zu erkennen.