FBI表示，俄罗斯国家支持的黑客在利用配置错误的默认多因素身份验证 (MFA) 协议后，将自己的设备注册到该组织的Duo MFA中，从而获得了对非政府组织 (NGO) 云的访问权限。

为了破坏网络，他们使用在暴力破解密码猜测攻击中泄露的凭据来访问一个未注册的非活动帐户，该帐户尚未在组织的 Active Directory 中禁用。
“由于 Duo 的默认配置设置允许为休眠帐户重新注册新设备，因此攻击者能够为该帐户注册新设备，完成身份验证要求，并获得对受害者网络的访问权限，”联邦机构解释。

“由于长时间不活动，受害者帐户已从Duo中取消注册，但未在Active Directory中禁用。”

下一步是通过在修改域控制器文件后将所有Duo MFA调用重定向到localhost而不是 Duo 服务器来禁用 MFA 服务。

这使他们能够以非管理员用户身份向NGO的虚拟专用网络 (VPN) 进行身份验证，通过远程桌面协议 (RDP) 连接到 Windows 域控制器，并获取其他域帐户的凭据。

借助这些被入侵的账户，在没有强制执行MFA的情况下，俄罗斯支持的威胁行为者可以横向移动并获得对云存储和电子邮件账户的访问权限并窃取数据。

FBI和CISA今天在联合网络安全咨询中敦促所有组织采取以下缓解措施：

• 强制执行 MFA 并查看配置策略以防止出现“失败打开”和重新注册情况。
• 确保在 Active Directory 和 MFA 系统中统一禁用非活动帐户。 
• 修补所有系统。优先修补 已知被利用的漏洞。

两个联邦机构在联合公告中分享了有关策略、技术和程序 (TTP)、危害指标 (IOC) 以及防范这种恶意活动 的建议的更多信息。

此前的联合公告还警告说，俄罗斯国家黑客会针对  支持美国陆军、美国空军、美国海军、美国太空部队以及国防部和情报计划的美国国防承包商进行攻击，并对其进行攻击。

包括APT29、  APT28和 Sandworm Team在内的俄罗斯黑客组织 也针对 美国关键基础设施领域的组织
2021年7月，美国政府还 宣布悬赏高达1000万美元，奖励 有关国家黑客协调的针对关键基础设施网络的恶意活动的信息。