Slevová nabídka pro více licencí
Počítačová bezpečnost Ruští hackeři Seashell Blizzard porušují kritické cíle...

Ruští hackeři Seashell Blizzard porušují kritické cíle infrastruktury, varuje Microsoft

V roce Mura v roce Počítačová bezpečnost
Přeložit do:
Čeština

Nebezpečná hackerská skupina napojená na Rusko známá jako Seashell Blizzard zesílila své útoky na kritickou infrastrukturu po celém světě, což vyvolalo obavy z dlouhodobé kybernetické špionáže a destruktivních operací. Podle nedávného varování od Microsoftu tato skupina nejen proniká do vysoce hodnotných systémů, ale také se hluboce zapouští, aby si udržela dlouhodobou kontrolu nad ohroženými sítěmi.

Seashell Blizzard je notoricky známý ruský herec

Seashell Blizzard, také sledovaný jako APT44, BlackEnergy Lite, Sandworm, Telebots a Voodoo Bear, je významnou kybernetickou hrozbou minimálně od roku 2009. Obecně se předpokládá, že skupina působí pod ruskou vojenskou zpravodajskou agenturou GRU (konkrétně jednotka 74455). Seashell Blizzard je proslulý svými destruktivními útoky, včetně nechvalně známého ransomwaru NotPetya, který v roce 2017 ochromil globální podniky, a malwaru KillDisk , který se v roce 2015 zaměřoval na ukrajinské kritické systémy.

V průběhu let se Seashell Blizzard zaměřoval na sektory kritické infrastruktury, jako jsou:

  • Energie
  • Vodovod
  • Vládní instituce
  • Vojenské sítě
  • Telekomunikace
  • Přeprava
  • Výrobní

Tyto útoky nejsou náhodné – úzce souvisí s ruskými vojenskými cíli, zejména na Ukrajině, kde byla kybernetická válka klíčovou součástí širší ruské konfliktní strategie.

Nová podskupina zaměřená na trvalý přístup

Nejnovější zpráva Microsoftu zdůrazňuje vznik podskupiny v rámci Seashell Blizzard, která působí pod radarem nejméně čtyři roky. Tato podskupina se věnuje jednomu kritickému poslání: získání počátečního přístupu ke zranitelným systémům a zajištění dlouhodobé vytrvalosti. To umožňuje hackerům udržet kontrolu nad kompromitovanými systémy po měsíce nebo dokonce roky, připraveni kdykoli zahájit rušivé útoky.

Toto úsilí s názvem BadPilot kampaň trvá od roku 2021 a zaměřuje se na infiltraci vysoce hodnotných cílů s cílem usnadnit širší síťové kompromisy. Metody podskupiny jsou popsány jako tajné a vysoce oportunistické, spoléhající se na zranitelnosti široce používaného softwaru a systémů s přístupem k internetu.

Zneužívání známých zranitelností

Útočníci využívají dobře známé bezpečnostní chyby v populárních systémech, včetně:

  • ConnectWise ScreenConnect (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Zimbra Collaboration Suite (CVE-2022-41352)
  • Chatovací server OpenFire (CVE-2023-32315)
  • TeamCity Build Server (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • Servery JBOSS (nespecifikované CVE)

Hackeři používají agresivní přístup „sprej-and-pray“, prohledávají internet, zda neobsahují zranitelné systémy, a hromadně na ně útočí. Jakmile jsou uvnitř, zabudují se pomocí nástrojů, jako jsou webové shelly a software pro vzdálené monitorování a správu (RMM), což zajišťuje dlouhodobou kontrolu nad napadenými systémy.

Alarmové techniky používané k udržení kontroly

Jakmile je systém kompromitován, podskupina nasadí několik technik perzistence:

  • Web Shell Deployments: Poskytování backdoor přístupu pro vzdálené ovládání.
  • Nástroje RMM: Umožňují diskrétní přístup a další nasazování malwaru.
  • Credential Harvesting: Úprava přihlašovacích stránek OWA a nastavení DNS za účelem krádeže přihlašovacích údajů uživatele.
  • Vložení JavaScriptu: Přidání škodlivého kódu do přihlašovacích portálů za účelem získání uživatelských jmen a hesel.

    • V několika případech tento trvalý přístup předcházel destruktivním útokům, což naznačuje, že hackeři mají dvojí účel – špionáž a sabotáž – v závislosti na ruských vojenských a geopolitických potřebách.

    Globální expanze: USA a Velká Británie nyní v hledáčku

    Zatímco Ukrajina byla primárním cílem kybernetických operací Seashell Blizzard, zpráva společnosti Microsoft odhaluje, že tato podskupina rozšířila svůj dosah v roce 2023 a zaměřila se na organizace ve Spojených státech a Spojeném království. Expanze signalizuje nebezpečný posun, což naznačuje, že ruská příručka o kybernetické válce rozšiřuje svůj záběr tak, aby zahrnovala i západní země.

    Trvalá a eskalující hrozba

    Microsoft varuje, že tato podskupina nezpomaluje. Ve skutečnosti je pravděpodobné, že se bude nadále vyvíjet a nasazovat inovativní techniky k infiltraci sítí po celém světě. S pokračující ruskou válkou na Ukrajině a rostoucím geopolitickým napětím by kybernetické útoky proti kritické infrastruktuře mohly eskalovat do zničujících důsledků v reálném světě.

    Ochrana vaší organizace před Seashell Blizzard

    Organizace v kritických sektorech musí přijmout okamžitá opatření na obranu proti této přetrvávající hrozbě:

    • Opravte známá zranitelnost: Zajistěte, aby byly systémy se softwarem ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire a dalším cíleným softwarem plně aktualizovány.
    • Posílení zabezpečení sítě: Nasaďte vícefaktorové ověřování (MFA), omezte přístup k citlivým systémům a sledujte neobvyklou aktivitu.
    • Monitorování stálosti: Provádějte pravidelné bezpečnostní audity, abyste odhalili neautorizované webové shelly, nástroje RMM nebo úpravy přihlašovacích stránek a konfigurací DNS.
    • Připravenost na reakci na incidenty: Připravte se na potenciální rušivé útoky vytvořením komplexního plánu reakce a zajištěním bezpečnosti a pravidelného testování záloh.

    Poslední varování

    Seashell Blizzard a jeho podskupina pro počáteční přístup představují jasné a současné nebezpečí pro kritickou infrastrukturu na celém světě. Jejich neúnavná honba za trvalým přístupem by mohla sloužit jako předzvěst rozsáhlé kybernetické sabotáže, schopné narušit energetické sítě, dodávky vody, dopravní systémy a vládní operace. Nejnovější zjištění Microsoftu jsou jasnou připomínkou: Další velký kybernetický útok by se již mohl skrývat uvnitř kritických systémů a čekat na signál.


    Načítání...