Útoky „Brutus“ zamerané na služby VPN
Spoločnosť Cisco nedávno upozornila na rozsiahlu kampaň zameranú na pokusy o prihlásenie sa jedným heslom do rôznych účtov naprieč zákazníkmi, ktorí využívajú Cisco VPN. Pokusy o prihlásenie boli zaznamenané do služby VPN so vzdialeným prístupom (RAVPN) nakonfigurované v zariadeniach Cisco Secure Firewall. Útoky sa zrejme zameriavajú aj na iné služby VPN a zatiaľ nie je jasné, či sú súčasťou prieskumnej činnosti alebo cieleného útoku. Bezpečnostní výskumníci Aaron Martin a Chris Grube zverejnili informácie, že táto aktivita môže súvisieť s botnetom „Brutus“, ktorý v súčasnosti využíva viac ako 20 000 IP adries po celom svete.
Počas tzv. password-spraying útoku sa útočník pokúša o prihlásenie na rôzne používateľské účty pomocou toho istého hesla. Útok na službu VPN sa môže vyznačovať niekoľkými charakteristickými znakmi. Pri pokuse o pripojenie s programom Cisco Secure Client (AnyConnect) sa používateľom zobrazí chyba “Unable to complete connection: Cisco Secure Desktop not installed on the client“ (chyba sa môže objaviť aj pri iných problémoch s pripojením VPN, a preto je dôležité skontrolovať aj ostatné znaky). Neschopnosť nadviazať spojenie VPN pomocou programu Cisco Secure Client (AnyConnect), keď je zapnutá funkcia Firewall Posture (HostScan) patrí medzi jeden z nich. Ďalším znakom môže byť neobvyklé zvýšenie množstva požiadaviek na overenie v systémových logoch.
Okrem toho, VPN koncentrátor Cisco Secure Firewall Adaptive Security Appliance (ASA) alebo Threat Defense (FTD) vykazuje v systémových logoch neobvyklé množstvo požiadaviek o overenie. Znakmi takéhoto útoku môžu byť veľké počty detegovaných neúspešných pokusov o prístup. Pokiaľ väčšie množstvá pokusov smerujú z rovnakých IP adries a záznamy obsahujú aj úspešné prihlásenie z nich, môže ísť o vážny bezpečnostný incident.
Pre zvýšenie úrovne ochrany a bezpečnosti spoločnosť Cisco odporúča:
- Zapnúť protokolovanie na vzdialený syslog server pre zlepšenie analýzy a korelácie incidentov.
- Zabezpečiť predvolené profily vzdialeného prístupu VPN nasmerovaním nepoužívaných predvolených profilov pripojenia na server AAA sinkhole, pre zabránenie neoprávneného prístupu.
- Použiť TCP shun (shun list) na manuálne blokovanie škodlivých IP adries a nakonfigurujte control-plane ACL pre odfiltrovanie neoprávnených verejných IP adries z relácií VPN. (Prostredníctvom mailu môžete požiadať o množinu IoC.)
- Použiť overovanie na základe certifikátov pre RAVPN, ktoré poskytuje bezpečnejšiu metódu overovania ako tradičné poverenia.
Poskytnutie IoC:
Zainteresované inštitúcie spadajúce pod konštituenciu VJ CSIRT môžu požiadať o množinu IoC pre účely odfiltrovania možných škodlivých IP adries mailom na info(at)csirt.sk
Možné naviazanie na APT29
Bezpečnostní výskumníci Aaron Martin a Chris Grube v svojej analýze botnetu Brutus uvádzajú, že pokusy o prienik do VPN sú cielené okrem zariadení Cisco aj na zariadenia od výrobcov Fortinet, Palo Alto, SonicWall a dokonca na webové aplikácie používajúce Active Directory pre autentifikáciu.
Brutus strieda svoje IP každých šesť pokusov, aby sa vyhol detekcii a blokovaniu, pričom používa veľmi špecifické nezverejnené používateľské mená, ktoré nie sú dostupné vo verejných databázach.
Prevádzkovatelia botnetu doposiaľ neboli jednoznačne identifikovaní, ale výskumníkom sa podarilo identifikovať dve IP adresy, ktoré boli v minulosti spojené s aktivitami APT29 (Midnight Blizzard, NOBELIUM, Cozy Bear). Skupina APT 29 pravdepodobne pracuje pre ruskú zahraničnú spravodajskú službu (SVR).
Odkazy: