Cotització de descompte per a múltiples llicències
Seguretat informàtica Els pirates informàtics russos Seashell Blizzard...

Els pirates informàtics russos Seashell Blizzard incompleixen els objectius d'infraestructura crítica, adverteix Microsoft

El Mura el Seguretat informàtica
Traduir a:
Català

Un perillós grup de pirateria informàtica vinculat a Rússia conegut com a Seashell Blizzard ha intensificat els seus atacs a infraestructures crítiques a tot el món, despertant preocupacions sobre el ciberespionatge i les operacions destructives a llarg termini. Segons una advertència recent de Microsoft, aquest grup no només s'està infiltrant en sistemes d'alt valor, sinó que també s'incrusta profundament per mantenir el control a llarg termini de les xarxes compromeses.

Seashell Blizzard és un actor rus d'amenaça notori

Seashell Blizzard, també rastrejat com a APT44, BlackEnergy Lite, Sandworm, Telebots i Voodoo Bear, ha estat una amenaça cibernètica important des d'almenys 2009. Es creu que el grup opera sota l'agència d'intel·ligència militar de Rússia, el GRU (específicament la unitat 74455). Seashell Blizzard és conegut pels seus atacs destructius, inclòs el famós ransomware NotPetya que va paralitzar les empreses globals el 2017 i el programari maliciós KillDisk que va dirigir els sistemes crítics d'Ucraïna el 2015.

Al llarg dels anys, Seashell Blizzard s'ha orientat a sectors crítics d'infraestructura com ara:

  • Energia
  • Subministrament d'aigua
  • Institucions governamentals
  • Xarxes militars
  • Telecomunicacions
  • Transport
  • Fabricació

Aquests atacs no són aleatoris: s'alineen estretament amb els objectius militars russos, especialment a Ucraïna, on la guerra cibernètica ha estat un component clau de l'estratègia de conflicte més àmplia de Rússia.

Un nou subgrup centrat en l'accés persistent

L'últim informe de Microsoft destaca l'aparició d'un subgrup dins de Seashell Blizzard que ha estat operant sota el radar durant almenys quatre anys. Aquest subgrup es dedica a una missió crítica: obtenir un accés inicial a sistemes vulnerables i establir una persistència a llarg termini. Això permet als pirates informàtics mantenir el control dels sistemes compromesos durant mesos o fins i tot anys, preparats per llançar atacs disruptius en qualsevol moment.

Anomenada la campanya BadPilot , aquest esforç ha estat en curs des del 2021, centrat a infiltrar-se en objectius d'alt valor per facilitar compromisos de xarxa més amplis. Els mètodes del subgrup es descriuen com a sigilosos i altament oportunistes, depenent de les vulnerabilitats del programari àmpliament utilitzat i dels sistemes orientats a Internet.

Explotació de les vulnerabilitats conegudes

Els atacants estan explotant defectes de seguretat coneguts en sistemes populars, com ara:

  • ConnectWise ScreenConnect (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Suite de col·laboració Zimbra (CVE-2022-41352)
  • Servidor de xat OpenFire (CVE-2023-32315)
  • Servidor de compilació de TeamCity (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • Servidors JBOSS (CVE no especificat)

Els pirates informàtics utilitzen un enfocament agressiu de "spray-and-pray", escanejant Internet a la recerca de sistemes vulnerables i atacant-los en massa. Un cop dins, s'incorporen mitjançant eines com ara shells web i programari de supervisió i gestió remota (RMM), assegurant un control a llarg termini dels sistemes compromesos.

Tècniques d'alarma utilitzades per mantenir el control

Un cop compromès un sistema, el subgrup desplega diverses tècniques de persistència:

  • Desplegaments de Web Shell: Proporcionar accés de porta posterior per al control remot.
  • Eines RMM: permeten un accés discret i un desplegament addicional de programari maliciós.
  • Recollida de credencials: modificació de les pàgines d'inici de sessió d'OWA i la configuració de DNS per robar les credencials de l'usuari.
  • Injecció de JavaScript: s'afegeix codi maliciós als portals d'inici de sessió per recopilar noms d'usuari i contrasenyes.

    • En diversos casos, aquest accés persistent va precedir atacs destructius, cosa que suggereix que els pirates informàtics mantenen una capacitat de doble propòsit: espionatge i sabotatge, depenent de les necessitats militars i geopolítiques russes.

    Expansió global: EUA i Regne Unit ara a la mira

    Tot i que Ucraïna ha estat el focus principal de les operacions cibernètiques de Seashell Blizzard, l'informe de Microsoft revela que aquest subgrup va ampliar el seu abast el 2023, dirigint-se a organitzacions dels Estats Units i el Regne Unit. L'expansió indica un canvi perillós, cosa que suggereix que el manual de guerra cibernètica de Rússia està ampliant el seu abast per incloure les nacions occidentals.

    Una amenaça persistent i creixent

    Microsoft adverteix que aquest subgrup no s'està alentint. De fet, és probable que continuï evolucionant i desplegant tècniques innovadores per infiltrar-se en xarxes arreu del món. Amb la guerra en curs de Rússia a Ucraïna i l'augment de les tensions geopolítiques, els ciberatacs contra infraestructures crítiques podrien augmentar i tenir conseqüències devastadores en el món real.

    Protegint la vostra organització contra Seashell Blizzard

    Les organitzacions dels sectors crítics han de prendre mesures immediates per defensar-se d'aquesta amenaça persistent:

    • Pedaços de vulnerabilitats conegudes: assegureu-vos que els sistemes que executen ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire i un altre programari orientat estiguin completament actualitzats.
    • Reforça la seguretat de la xarxa: implementa l'autenticació multifactor (MFA), restringeix l'accés a sistemes sensibles i supervisa l'activitat inusual.
    • Supervisar la persistència: realitzeu auditories de seguretat periòdiques per detectar shells web no autoritzats, eines RMM o modificacions a les pàgines d'inici de sessió i a les configuracions de DNS.
    • Preparació per a la resposta a incidents: prepareu-vos per a possibles atacs disruptius desenvolupant un pla de resposta complet i assegurant-vos que les còpies de seguretat siguin segures i es provein regularment.

    Avís final

    Seashell Blizzard i el seu subgrup d'accés inicial representen un perill clar i actual per a la infraestructura crítica a nivell mundial. La seva incessant recerca d'accés persistent podria servir com a precursor del cibersabotatge a gran escala, capaç d'interrompre les xarxes energètiques, el subministrament d'aigua, els sistemes de transport i les operacions governamentals. Les últimes troballes de Microsoft són un recordatori contundent: el proper ciberatac important ja podria estar a l'aguait dins dels sistemes crítics, esperant que el senyal arribi.


    Carregant...