Ryska militära underrättelsetjänsten har missbrukat molninfrastruktur för att starta attacker mot hundratals mål över hela världen, säger cybersäkerhetsbyråer från USA och Storbritannien.
En rådgivning som släppts av ett antal byråer, inklusive FBI och UK National Cybersecurity Centre (NCSC), hävdar att ryska generalstabens huvudsakliga underrättelsetjänst (GRU) genomför lösenordsattacker mot både privat och offentlig sektor.
Tidigare hade dessa attacker skylts på hotaktörer som Fancy Bear, APT28, Strontium och andra, men säkerhetsmyndigheterna tror nu att de styrs av en GRU-enhet som kallas GTsSS.
TechRadar behöver dig!
Vi tittar på hur våra läsare använder VPN med streamingwebbplatser som Netflix så att vi kan förbättra vårt innehåll och erbjuda bättre råd. Den här undersökningen tar inte mer än 60 sekunder av din tid, och du kan också välja att delta i pristeckningen för att vinna en $ 100 Amazon-kupong eller en av fem 1-års ExpressVPN-prenumerationer.
>> Klicka här för att starta undersökningen i ett nytt fönster <<
”GTsSS riktade en betydande del av denna aktivitet till organisationer som använder Microsoft Office 365 molntjänster; Men de riktade sig också mot andra tjänsteleverantörer och lokala e-postservrar med hjälp av en mängd olika protokoll, förklarar den gemensamma rådgivaren.
Pågående kampanj
I sin uppdelning av attackerna säger byråerna att GTsSS använder ett Kubernetes-kluster för att bryta sig in i privata nätverk för att få åtkomst till skyddad data, inklusive e-post, och identifiera giltiga kontouppgifter.
I en kommentar till modus operandi säger rådgivaren att angriparna riktar sig till offren genom att använda en kombination av kompromitterade kontouppgifter och allmänt kända sårbarheter, som de som nyligen upptäcktes i Microsoft Exchange-servrar.
Dessutom, för att fördunkla deras ursprung, dirigerar angriparna sina brute force-autentiseringsförsök genom Tor- och VPN-tjänster.
Det gemensamma uttalandet kommer inte långt efter ett möte i Genève mellan USA: s president Joe Biden och hans ryska motsvarighet Vladimir Putin. Men byråerna tror att attackerna “nästan säkert fortfarande pågår.”
