【知己知彼】五眼聯盟發表聯合報告　一文揭穿俄羅斯間諜組織入侵手段

五眼聯盟的網絡安全機構近日聯合發表針對俄羅斯間諜組織 APT29 的研究報告，報告內指出 APT29 黑客的入侵手段已有明顯改變，由過往會利用軟硬件的安全漏洞滲透內部網絡，轉移至專門攻擊目標機構的雲端服務。雖然一般企業未必會成為間諜組織的攻擊目標，但這種攻擊手法其實已漸成趨勢，管理層必須加倍防範。

APT29 過去「戰績彪炳」

被美國、英國、澳洲、加拿大、新西蘭組成的五眼聯盟盯上的俄羅斯間諜組織 APT29，又稱為 Cozy Bear、Midnight Blizzard 等，這個組織的往積相當彪炳，例如曾利用 Solarwinds 軟件的安全漏洞入侵美國多間大型企業及政府部門，又曾借助盜取的 Microsoft 365 帳戶，刺探北約國家的對外政策。另外還有上年 11 月入侵 Microsoft Exchange Online 帳戶事件，都顯示出 APT29 黑客的入侵技術與時並進，而且亦可看出他們轉移瞄準雲端基建及服務的傾向。

報告內指出黑客會通過不同方法獲取帳戶登入權限，例如用暴力破解、密碼噴灑方式推測目標機構員工帳戶的登入密碼，其次是利用目標機構內一些未被註銷的帳戶，潛入內部網絡搜集情報。其他還包括盜取對方員工儲存於瀏覽器內的 session token、濫用家用路由器轉換 IP 位址、通過 MFA 疲勞轟炸令員工自行提供多重因素驗證碼等，攻擊手法非常多元化。但無論用哪一種方法入侵，APT29 黑客最終都會在內部網絡安裝 MagicWeb 惡意軟件，迴避目標機構的網絡檢測，受害者遍布歐美及亞洲。

建議企業從源頭阻截黑客

正因為 APT29 改變入侵策略，因此報告建議企業及機構應致力減少對方獲得初始訪問權限的機會，從源頭阻止對方入侵。首先要使用強密碼及啟用 MFA 多重因素驗證，並仔細地因應每個員工帳戶的職能設定最低限度的訪問權限。而在盜取 session token 方面，專家建議應縮短代幣的生命周期，雖然會增加員工登入帳戶時的驗證次數，卻能有效阻止黑客入侵，另外，亦應考慮使用人工智能偵測工具，可盡快鎖定異常的網絡活動，減低企業及機構的損失。

上述的攻擊方式絕非 APT29 專用，反而是現時很多黑客慣用的手法，因此企業管理層可詳細參考這些報告建議措施，相信對提升網絡防禦能力都有很大幫助。

資料來源：https://www.bleepingcomputer.com/news/security/russian-hackers-shift-to-cloud-attacks-us-and-allies-warn/

相關文章：【利用作案】國家級黑客善用洗黑錢服務　混合加密貨幣截斷交易痕跡