Руските хакери на Seashell Blizzard проникват в критични инфраструктурни цели, предупреждава Microsoft

Опасна свързана с Русия хакерска група, известна като Seashell Blizzard, засили атаките си срещу критична инфраструктура в световен мащаб, пораждайки опасения относно дългосрочен кибершпионаж и разрушителни операции. Според скорошно предупреждение от Microsoft, тази група не само прониква в системи с висока стойност, но също така се вгражда дълбоко, за да поддържа дългосрочен контрол върху компрометирани мрежи.

Seashell Blizzard е известен руски заплаха актьор

Seashell Blizzard, също така проследявана като APT44, BlackEnergy Lite, Sandworm, Telebots и Voodoo Bear, е значителна киберзаплаха поне от 2009 г. Смята се, че групата действа под ръководството на руската военна разузнавателна агенция ГРУ (по-специално отдел 74455). Seashell Blizzard е известен със своите разрушителни атаки, включително прословутия рансъмуер NotPetya, който осакати глобалните бизнеси през 2017 г., и злонамерения софтуер KillDisk , насочен към украински критични системи през 2015 г.

През годините Seashell Blizzard се насочи към критични инфраструктурни сектори като:

• енергия
• Водоснабдяване
• Държавни институции
• Военни мрежи
• Телекомуникации
• Транспорт
• Производство

Тези атаки не са случайни – те са тясно свързани с руските военни цели, особено в Украйна, където кибервойната е ключов компонент от по-широката стратегия на Русия за конфликт.

Нова подгрупа, фокусирана върху постоянен достъп

Последният доклад на Microsoft подчертава появата на подгрупа в Seashell Blizzard, която работи под радара от поне четири години. Тази подгрупа е посветена на една критична мисия: получаване на първоначален достъп до уязвими системи и установяване на дългосрочна устойчивост. Това позволява на хакерите да поддържат контрол над компрометирани системи в продължение на месеци или дори години, готови да предприемат разрушителни атаки във всеки един момент.

Наречено кампанията BadPilot , това усилие продължава от 2021 г., като се фокусира върху проникването на цели с висока стойност за улесняване на по-широки мрежови компромиси. Методите на подгрупата са описани като скрити и силно опортюнистични, разчитащи на уязвимости в широко използван софтуер и системи, свързани с интернет.

Използване на известни уязвимости

Нападателите използват добре известни пропуски в сигурността на популярни системи, включително:

• ConnectWise ScreenConnect (CVE-2024-1709)
• Fortinet FortiClient EMS (CVE-2023-48788)
• Microsoft Exchange (CVE-2021-34473)
• Zimbra Collaboration Suite (CVE-2022-41352)
• Сървър за чат OpenFire (CVE-2023-32315)
• TeamCity Build Server (CVE-2023-42793)
• Microsoft Outlook (CVE-2023-23397)
• JBOSS сървъри (неопределен CVE)

Хакерите използват агресивен подход „пръскай и се моли“, сканирайки интернет за уязвими системи и ги атакувайки масово. Веднъж вътре, те се вграждат с помощта на инструменти като уеб обвивки и софтуер за дистанционно наблюдение и управление (RMM), осигурявайки дългосрочен контрол върху компрометираните системи.

Алармени техники, използвани за поддържане на контрол

След като системата бъде компрометирана, подгрупата използва множество техники за устойчивост:

• Внедрявания на Web Shell: Осигуряване на заден достъп за дистанционно управление.
• RMM инструменти: Позволяване на дискретен достъп и по-нататъшно внедряване на зловреден софтуер.

В няколко случая този постоянен достъп предшества разрушителни атаки, което предполага, че хакерите поддържат способност с двойна цел – шпионаж и саботаж – в зависимост от руските военни и геополитически нужди.

Глобална експанзия: САЩ и Обединеното кралство вече са на прицела

Докато Украйна е основният фокус на кибер операциите на Seashell Blizzard, докладът на Microsoft разкрива, че тази подгрупа е разширила обхвата си през 2023 г., насочвайки се към организации в Съединените щати и Обединеното кралство. Разширяването сигнализира за опасна промяна, което предполага, че руската книга за кибервойни разширява обхвата си, за да включва западни нации.

Постоянна и ескалираща заплаха

Microsoft предупреждава, че тази подгрупа не се забавя. Всъщност е вероятно да продължи да се развива и да внедрява иновативни техники за проникване в мрежи по целия свят. С продължаващата война на Русия в Украйна и нарастващото геополитическо напрежение, кибератаките срещу критична инфраструктура могат да ескалират до опустошителни последици в реалния свят.

Защита на вашата организация срещу Seashell Blizzard

Организациите в критични сектори трябва да предприемат незабавни действия за защита срещу тази постоянна заплаха:

• Корекция на известни уязвимости: Уверете се, че системите, работещи с ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire и друг целеви софтуер, са напълно актуализирани.
• Укрепване на мрежовата сигурност: Внедрете многофакторно удостоверяване (MFA), ограничете достъпа до чувствителни системи и следете за необичайна дейност.
• Мониторинг за постоянство: Провеждайте редовни одити на сигурността, за да откриете неоторизирани уеб обвивки, RMM инструменти или модификации на страници за вход и DNS конфигурации.
• Готовност за реакция при инцидент: Подгответе се за потенциални разрушителни атаки, като разработите цялостен план за реакция и гарантирате, че резервните копия са сигурни и редовно тествани.

Последно предупреждение

Seashell Blizzard и неговата първоначална подгрупа за достъп представляват ясна и настояща опасност за критичната инфраструктура в световен мащаб. Техният безмилостен стремеж към постоянен достъп може да послужи като предшественик на широкомащабен киберсаботаж, способен да наруши енергийните мрежи, водоснабдяването, транспортните системи и правителствените операции. Последните констатации на Microsoft са силно напомняне: следващата голяма кибератака може вече да се крие в критични системи, чакайки сигнала да удари.