国际政府网络安全机构联盟联合发布关于俄罗斯对外情报局黑客活动的警示

美国网络安全与基础设施安全局（CISA）及其他负责网络安全的国际机构发布联合公告，披露俄罗斯对外情报局（SVR）入侵云环境的手段。尽管该报告未说明此类攻击的动机，但CISA其他指导文件指出，其动机至少包括在危机期间破坏西方关键基础设施。 

攻击方法

该组织又名APT29、Dukes、CozyBear及NOBELIUM/Midnight Blizzard，报告描述了俄罗斯对外情报局（SVR）用于初始入侵云服务的战术，包括：

• 通过服务账户和休眠账户访问，这些账户可能提供特权访问权限
• 基于云的令牌认证 
• 将新设备注册到云端（在通过密码喷洒和MFA轰炸等技术绕过密码认证后）
• 住宅代理（使流量看似来自互联网服务提供商为住宅宽带用户分配的IP地址，从而更难通过基于IP地址的国家防火墙规则检测恶意活动）。 

对企业的建议

该建议书提出若干缓解策略，这些策略可能有助于防御基于上述情况的攻击。具体包括：

• 使用多因素认证
• 对于无法使用多因素认证的账户，必须设置强且唯一的密码
• 禁用不再需要的用户和系统账户
• 为系统和服务账户采用最小权限原则
• 部署“金丝雀”服务账户——这些账户看似合法，但绝不会被正规服务使用——并针对这些账户设置监控和警报机制，以防其被滥用。
• 最小化会话令牌的会话有效期（在考虑用户体验的前提下，与合适的身份验证方法保持平衡）
• 仅允许授权设备进行注册，这可能包括使用零接触注册技术或采用能够抵御钓鱼攻击和提示轰炸攻击的强效多因素认证（MFA）。
• 考虑多种信息来源，例如应用程序和主机日志记录，这些可能表明存在恶意行为。

美国网络安全与基础设施安全局（CISA）联合英国国家网络安全中心（NCSC）及其他美国和国际合作伙伴发布联合公告《俄罗斯对外情报局网络行为者调整初始云访问策略》。 该通告揭示了俄罗斯对外情报局（SVR）网络行动者——亦称APT29、Dukes、CozyBear及NOBELIUM/Midnight Blizzard——近期用于初始入侵云环境的战术、技术与程序（TTPs）。

查看引用文章