Verschiedene Geheimdienste der USA haben Unternehmen und öffentliche Einrichtungen vor Angriffen des russischen Militärnachrichtendienstes GRU gewarnt. Die Empfehlungen gehen Tom Jermoluk, CEO von Beyond Identity nicht weit genug. Er empfiehlt vielmehr, dass Unternehmen Passwörter eliminieren, weil man mit ihnen kein echtes Zero Trust erreichen kann.
In dem gemeinsamen Bericht der US-Sicherheitsbehörden wird die Spezialeinheit GTsSS des GRU beschuldigt, von Mitte 2019 bis Anfang 2021 ein Kubernetes-Cluster benutzt zu haben, um weltweit anonymisierte Brute-Force-Zugriffsversuche durchzuführen. Die Ziele der Kampagne waren demnach Hunderte von internationalen Einrichtungen sowie Regierungsbehörden und Militäreinrichtungen in den USA.
Die GTsSS konzentriert sich bei ihren Aktivitäten auf Organisationen, die Microsoft Office 365 Cloud-Services nutzen, betroffen sind jedoch auch andere Service-Provider und E-Mail-Server vor Ort ab, die eine Vielzahl verschiedener Protokolle verwenden.
Die Brute-Force-Methode ermöglicht es den GTsSS-Akteuren, auf geschützte Daten, einschließlich E-Mails, zuzugreifen und gültige Anmeldedaten zu identifizieren. Diese Zugangsdaten können dann für zahlreiche Vorhaben wie Erstzugriff, Persistenz, Privilegienerweiterung und das Umgehen von Verteidigungsmaßnahmen verwendet werden.
Um sich gegen die Angriffe effektiv zu schützen, empfehlen die US-Geheimdienste Netzwerkmanagern die Verwendung von Multi-Faktor-Authentifizierung. Weitere Maßnahmen zur Sicherstellung starker Zugriffskontrollen umfassen Zeitüberschreitungs- und Sperrfunktionen, die obligatorische Verwendung starker Passwörter, die Implementierung eines Zero-Trust-Sicherheitsmodells, das zusätzliche Attribute bei der Bestimmung des Zugriffs verwendet, sowie Analysen zur Erkennung anomaler Zugriffe.
Zusätzlich sollten Unternehmen in Erwägung ziehen, alle eingehenden Aktivitäten von bekannten Anonymisierungsdiensten wie kommerziellen virtuellen privaten Netzwerken (VPNs) und „The Onion Router“ (TOR) zu verweigern, wenn ein solcher Zugriff nicht mit einer typischen Nutzung verbunden ist.
Diese Maßnahmen sind nach Meinung von TJ Jermoluk, CEO von Beyond Identity, nicht ausreichend und zum Teil falsch: „Russische GRU-Agenten und andere staatliche Akteure wie die in SolarWinds involvierten sowie finanziell motivierte Angreifer (z.B. Ransomware) verwenden alle die gleichen Passwort-Spraying- und Brute-Force-Techniken – weil sie so effektiv sind. Leider führt ein falsches Verständnis dieser Technik zu erschreckend fehlerhaften Ratschlägen wie in dem NSA-Bericht, in dem teilweise empfohlen wird, die Verwendung ‚stärkerer Passwörter‘ vorzuschreiben.
Bei der Sammlung von Anmeldeinformationen, die der Passwort-Spraying-Kampagne vorausging, wurden sicher auch starke Passwörter gesammelt. Und das russische Kubernetes-Cluster, das bei dem Angriff verwendet wurde, war in der Lage, starke Passwörter zu erzeugen. Die Regierung empfahl daraufhin ein Zero-Trust-Sicherheitsmodell, das zusätzliche Attribute bei der Bestimmung des Zugriffs verwendet, sowie Analysen, um anomale Zugriffe zu erkennen.
Dieser Ratschlag erfordert einen Wechsel zu einer starken, kontinuierlichen Authentifizierung. Er erfordert aber auch, dass Unternehmen Passwörter eliminieren, weil sie so vollständig kompromittiert sind, dass man mit ihnen einfach kein Zero Trust erreichen kann.“