Εκπτωτική προσφορά πολλαπλών αδειών
Ασφάλεια Υπολογιστών Οι χάκερ της ρωσικής Seashell Blizzard παραβιάζουν...

Οι χάκερ της ρωσικής Seashell Blizzard παραβιάζουν κρίσιμους στόχους υποδομής, προειδοποιεί η Microsoft

Μέχρι το Mura το Ασφάλεια Υπολογιστών
Μετάφραση σε:
Ελληνικά

Μια επικίνδυνη ομάδα hacking που συνδέεται με τη Ρωσία, γνωστή ως Seashell Blizzard, έχει εντείνει τις επιθέσεις της σε κρίσιμες υποδομές παγκοσμίως, εγείροντας ανησυχίες για μακροπρόθεσμη κυβερνοκατασκοπεία και καταστροφικές επιχειρήσεις. Σύμφωνα με μια πρόσφατη προειδοποίηση από τη Microsoft, αυτή η ομάδα όχι μόνο διεισδύει σε συστήματα υψηλής αξίας, αλλά επίσης ενσωματώνεται βαθιά για να διατηρήσει τον μακροπρόθεσμο έλεγχο σε παραβιασμένα δίκτυα.

Ο Seashell Blizzard είναι ένας διαβόητος Ρώσος ηθοποιός απειλών

Το Seashell Blizzard, το οποίο παρακολουθείται επίσης ως APT44, BlackEnergy Lite, Sandworm, Telebots και Voodoo Bear, αποτελεί σημαντική απειλή στον κυβερνοχώρο τουλάχιστον από το 2009. Η ομάδα πιστεύεται ευρέως ότι λειτουργεί υπό τη στρατιωτική υπηρεσία πληροφοριών της Ρωσίας, την GRU (συγκεκριμένα Μονάδα 74455). Το Seashell Blizzard είναι διαβόητο για τις καταστροφικές επιθέσεις του, συμπεριλαμβανομένου του διαβόητου ransomware NotPetya που ακρωτηρίασε τις παγκόσμιες επιχειρήσεις το 2017 και του κακόβουλου λογισμικού KillDisk που στόχευε κρίσιμα συστήματα της Ουκρανίας το 2015.

Με την πάροδο των ετών, η Seashell Blizzard έχει στοχεύσει κρίσιμους τομείς υποδομής όπως:

  • Ενέργεια
  • Υδρευση
  • Κυβερνητικά όργανα
  • Στρατιωτικά Δίκτυα
  • Τηλεπικοινωνίες
  • Μεταφορά
  • Βιομηχανοποίηση

Αυτές οι επιθέσεις δεν είναι τυχαίες – ευθυγραμμίζονται στενά με τους ρωσικούς στρατιωτικούς στόχους, ιδιαίτερα στην Ουκρανία, όπου ο κυβερνοπόλεμος ήταν βασικό συστατικό της ευρύτερης στρατηγικής συγκρούσεων της Ρωσίας.

Μια νέα υποομάδα που επικεντρώνεται στη μόνιμη πρόσβαση

Η τελευταία έκθεση της Microsoft υπογραμμίζει την εμφάνιση μιας υποομάδας στο Seashell Blizzard που λειτουργεί υπό το ραντάρ για τουλάχιστον τέσσερα χρόνια. Αυτή η υποομάδα είναι αφιερωμένη σε μια κρίσιμη αποστολή: την απόκτηση αρχικής πρόσβασης σε ευάλωτα συστήματα και τη δημιουργία μακροπρόθεσμης επιμονής. Αυτό δίνει τη δυνατότητα στους χάκερ να διατηρούν τον έλεγχο των παραβιασμένων συστημάτων για μήνες ή και χρόνια, έτοιμοι να εξαπολύσουν αποτρεπτικές επιθέσεις ανά πάσα στιγμή.

Με την ονομασία καμπάνια BadPilot , αυτή η προσπάθεια συνεχίζεται από το 2021, εστιάζοντας στη διείσδυση στόχων υψηλής αξίας για τη διευκόλυνση ευρύτερων συμβιβασμών στο δίκτυο. Οι μέθοδοι της υποομάδας περιγράφονται ως κρυφές και άκρως ευκαιριακές, βασισμένες σε ευπάθειες σε ευρέως χρησιμοποιούμενο λογισμικό και συστήματα που αντιμετωπίζουν το Διαδίκτυο.

Εκμετάλλευση γνωστών τρωτών σημείων

Οι εισβολείς εκμεταλλεύονται γνωστά ελαττώματα ασφαλείας σε δημοφιλή συστήματα, όπως:

  • ConnectWise ScreenConnect (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Zimbra Collaboration Suite (CVE-2022-41352)
  • Διακομιστής συνομιλίας OpenFire (CVE-2023-32315)
  • Διακομιστής TeamCity Build (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • Διακομιστές JBOSS (Μη καθορισμένο CVE)

Οι χάκερ χρησιμοποιούν μια επιθετική προσέγγιση «ψεκάζω και προσεύχομαι», σαρώνοντας το Διαδίκτυο για ευάλωτα συστήματα και τους επιτίθενται μαζικά. Μόλις μπουν μέσα, ενσωματώνονται χρησιμοποιώντας εργαλεία όπως τα κελύφη ιστού και το λογισμικό απομακρυσμένης παρακολούθησης και διαχείρισης (RMM), διασφαλίζοντας μακροπρόθεσμο έλεγχο των παραβιασμένων συστημάτων.

Συναγερτικές τεχνικές που χρησιμοποιούνται για τη διατήρηση του ελέγχου

Μόλις ένα σύστημα παραβιαστεί, η υποομάδα αναπτύσσει πολλαπλές τεχνικές επιμονής:

  • Αναπτύξεις Web Shell: Παροχή πρόσβασης σε κερκόπορτα για τηλεχειριστήριο.
  • Εργαλεία RMM: Επιτρέπουν διακριτική πρόσβαση και περαιτέρω ανάπτυξη κακόβουλου λογισμικού.
  • Συγκομιδή διαπιστευτηρίων: Τροποποίηση σελίδων σύνδεσης OWA και ρυθμίσεων DNS για κλοπή διαπιστευτηρίων χρήστη.
  • JavaScript Injection: Προσθήκη κακόβουλου κώδικα σε πύλες σύνδεσης για τη συλλογή ονομάτων χρήστη και κωδικών πρόσβασης.

    • Σε αρκετές περιπτώσεις, αυτή η επίμονη πρόσβαση προηγήθηκε καταστροφικών επιθέσεων, υποδηλώνοντας ότι οι χάκερ διατηρούν μια ικανότητα διπλού σκοπού – κατασκοπεία και δολιοφθορά – ανάλογα με τις ρωσικές στρατιωτικές και γεωπολιτικές ανάγκες.

    Παγκόσμια επέκταση: ΗΠΑ και Ηνωμένο Βασίλειο τώρα στο σταυροδρόμι

    Ενώ η Ουκρανία ήταν το κύριο επίκεντρο των επιχειρήσεων στον κυβερνοχώρο της Seashell Blizzard, η έκθεση της Microsoft αποκαλύπτει ότι αυτή η υποομάδα επέκτεινε την εμβέλειά της το 2023, στοχεύοντας οργανισμούς στις Ηνωμένες Πολιτείες και στο Ηνωμένο Βασίλειο. Η επέκταση σηματοδοτεί μια επικίνδυνη μετατόπιση, υποδηλώνοντας ότι το βιβλίο παιχνιδιού του κυβερνοπολέμου της Ρωσίας διευρύνει το πεδίο εφαρμογής του για να συμπεριλάβει δυτικά έθνη.

    Μια επίμονη και κλιμακούμενη απειλή

    Η Microsoft προειδοποιεί ότι αυτή η υποομάδα δεν επιβραδύνεται. Στην πραγματικότητα, είναι πιθανό να συνεχίσει να εξελίσσεται και να αναπτύσσει καινοτόμες τεχνικές για να διεισδύσει σε δίκτυα σε όλο τον κόσμο. Με τον συνεχιζόμενο πόλεμο της Ρωσίας στην Ουκρανία και τις αυξανόμενες γεωπολιτικές εντάσεις, οι κυβερνοεπιθέσεις κατά κρίσιμων υποδομών θα μπορούσαν να κλιμακωθούν σε καταστροφικές συνέπειες στον πραγματικό κόσμο.

    Προστασία του οργανισμού σας από τη χιονοθύελλα από κοχύλια

    Οι οργανισμοί σε κρίσιμους τομείς πρέπει να λάβουν άμεση δράση για να αμυνθούν έναντι αυτής της επίμονης απειλής:

    • Επιδιορθώστε γνωστά τρωτά σημεία: Βεβαιωθείτε ότι τα συστήματα που εκτελούν ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire και άλλο στοχευμένο λογισμικό είναι πλήρως ενημερωμένα.
    • Ενίσχυση της ασφάλειας δικτύου: Αναπτύξτε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), περιορίστε την πρόσβαση σε ευαίσθητα συστήματα και παρακολουθήστε για ασυνήθιστη δραστηριότητα.
    • Monitor for Persistence: Πραγματοποιήστε τακτικούς ελέγχους ασφαλείας για να εντοπίσετε μη εξουσιοδοτημένα κελύφη ιστού, εργαλεία RMM ή τροποποιήσεις σε σελίδες σύνδεσης και διαμορφώσεις DNS.
    • Ετοιμότητα απόκρισης συμβάντων: Προετοιμαστείτε για πιθανές επιθέσεις αναστάτωσης αναπτύσσοντας ένα ολοκληρωμένο σχέδιο απόκρισης και διασφαλίζοντας ότι τα αντίγραφα ασφαλείας είναι ασφαλή και ελέγχονται τακτικά.

    Τελική προειδοποίηση

    Το Seashell Blizzard και η υποομάδα αρχικής πρόσβασης αντιπροσωπεύουν έναν σαφή και παρόντα κίνδυνο για κρίσιμες υποδομές παγκοσμίως. Η αδυσώπητη επιδίωξή τους για επίμονη πρόσβαση θα μπορούσε να χρησιμεύσει ως προπομπός μεγάλης κλίμακας δολιοφθοράς στον κυβερνοχώρο, ικανή να διαταράξει τα ενεργειακά δίκτυα, τις προμήθειες νερού, τα συστήματα μεταφορών και τις κυβερνητικές λειτουργίες. Τα τελευταία ευρήματα της Microsoft είναι μια έντονη υπενθύμιση: Η επόμενη μεγάλη κυβερνοεπίθεση θα μπορούσε ήδη να κρύβεται μέσα σε κρίσιμα συστήματα, περιμένοντας το σήμα να χτυπήσει.


    Φόρτωση...