Venemaa Seashell Blizzardi häkkerid rikkusid kriitilise infrastruktuuri eesmärke, hoiatab Microsoft

Aastaks Mura aastal Arvuti turvalisus

Tõlgi:

Ohtlik Venemaaga seotud häkkimisrühmitus, tuntud kui Seashell Blizzard, on intensiivistanud rünnakuid kriitilise infrastruktuuri vastu kogu maailmas, tekitades muret pikaajalise küberspionaaži ja hävitavate operatsioonide pärast. Microsofti hiljutise hoiatuse kohaselt ei imbu see rühm mitte ainult kõrge väärtusega süsteemidesse, vaid ka juurdub end sügavalt, et säilitada pikaajaline kontroll ohustatud võrkude üle.

Sisukord

Seashell Blizzard on kurikuulus Venemaa ähvardusnäitleja

Seashell Blizzard, mida jälgitakse ka kui APT44, BlackEnergy Lite, Sandworm, Telebots ja Voodoo Bear, on olnud märkimisväärne küberoht vähemalt aastast 2009. Arvatakse, et rühmitus tegutseb Venemaa sõjaväeluure agentuuri GRU (täpsemalt üksuse 74455) alluvuses. Seashell Blizzard on kurikuulus oma hävitavate rünnakute poolest, sealhulgas kurikuulus NotPetya lunavara, mis kahjustas 2017. aastal ülemaailmseid ettevõtteid, ja KillDiski pahavara , mis 2015. aastal oli suunatud Ukraina kriitilistele süsteemidele.

Aastate jooksul on Seashell Blizzard võtnud sihikule sellised kriitilised infrastruktuurisektorid nagu:

Energia
Veevarustus
Valitsusasutused
Sõjalised võrgud
Telekommunikatsioon
Transport
Tootmine

Need rünnakud ei ole juhuslikud – need on tihedalt kooskõlas Venemaa sõjaliste eesmärkidega, eriti Ukrainas, kus kübersõda on olnud Venemaa laiema konfliktistrateegia võtmekomponent.

Uus alarühm, mis keskendub püsivale juurdepääsule

Microsofti viimane aruanne tõstab esile alarühma tekkimist Seashell Blizzardis, mis on radari all tegutsenud vähemalt neli aastat. See alamrühm on pühendatud ühele kriitilisele ülesandele: haavatavatele süsteemidele esmase juurdepääsu saamine ja pikaajalise püsivuse loomine. See võimaldab häkkeritel säilitada kontrolli ohustatud süsteemide üle kuid või isegi aastaid, olles valmis igal hetkel käivitama häirivaid rünnakuid.

BadPiloti kampaaniaks nimetatud jõupingutus on kestnud alates 2021. aastast, keskendudes väärtuslike sihtmärkide imbumisele, et hõlbustada laiemaid võrgu kompromisse. Alamrühma meetodeid kirjeldatakse kui varjatud ja väga oportunistlikke, tuginedes laialdaselt kasutatava tarkvara ja Interneti-ühendusega süsteemide haavatavustele.

Teadaolevate haavatavuste ärakasutamine

Ründajad kasutavad ära populaarsete süsteemide tuntud turvavigu, sealhulgas:

ConnectWise ScreenConnect (CVE-2024-1709)
Fortinet FortiClient EMS (CVE-2023-48788)
Microsoft Exchange (CVE-2021-34473)
Zimbra Collaboration Suite (CVE-2022-41352)
OpenFire'i vestlusserver (CVE-2023-32315)
TeamCity ehitusserver (CVE-2023-42793)
Microsoft Outlook (CVE-2023-23397)
JBOSS-serverid (määratlemata CVE)

Häkkerid kasutavad agressiivset "pihusta ja palveta" lähenemisviisi, otsides Internetist haavatavaid süsteeme ja rünnates neid massiliselt. Sisse sisenedes manustavad nad end selliste tööriistade abil nagu veebikestad ja kaugseire ja halduse (RMM) tarkvara, tagades pikaajalise kontrolli ohustatud süsteemide üle.

Kontrolli säilitamiseks kasutatavad häiretehnikad

Kui süsteem on ohus, kasutab alamrühm mitut püsivustehnikat:

Web Shelli juurutused: tagaukse juurdepääsu pakkumine kaugjuhtimiseks.
RMM-tööriistad: võimaldab diskreetset juurdepääsu ja edasist pahavara juurutamist.

Mandaadi kogumine: OWA sisselogimislehtede ja DNS-i sätete muutmine kasutaja mandaatide varastamiseks.

JavaScripti sisestamine: sisselogimisportaalidesse pahatahtliku koodi lisamine kasutajanimede ja paroolide kogumiseks.

Mitmel juhul eelnes see püsiv juurdepääs hävitavatele rünnakutele, mis viitab sellele, et häkkeritel on kaheotstarbeline võime – spionaaž ja sabotaaž – olenevalt Venemaa sõjalistest ja geopoliitilistest vajadustest.

Globaalne laienemine: USA ja Ühendkuningriik on nüüd ristis

Kuigi Seashell Blizzardi kübertegevuses on keskendunud Ukrainale, selgub Microsofti aruandest, et see alamrühm laiendas 2023. aastal oma haaret, sihiks on võetud Ameerika Ühendriikide ja Ühendkuningriigi organisatsioonid. Laienemine annab märku ohtlikust nihkest, mis viitab sellele, et Venemaa kübersõja mänguraamat laiendab oma ulatust lääneriikidele.

Püsiv ja eskaleeruv oht

Microsoft hoiatab, et see alamrühm ei aeglustu. Tõenäoliselt jätkab see uuenduslike tehnikate arendamist ja juurutamist, et tungida võrkudesse üle kogu maailma. Seoses Venemaa jätkuva sõjaga Ukrainas ja kasvavate geopoliitiliste pingetega võivad küberrünnakud kriitilise infrastruktuuri vastu kasvada laastavateks tagajärgedeks reaalses maailmas.

Organisatsiooni kaitsmine merekarpide lumetormi eest

Kriitiliste sektorite organisatsioonid peavad selle püsiva ohu eest kaitsmiseks võtma viivitamatult meetmeid:

Parandage teadaolevad haavatavused: veenduge, et ScreenConnecti, Fortinetit, Exchange'i, Zimbrat, OpenFire'i ja muud sihitud tarkvara kasutavad süsteemid oleksid täielikult värskendatud.
Võrguturbe tugevdamine: juurutage mitmefaktoriline autentimine (MFA), piirake juurdepääsu tundlikele süsteemidele ja jälgige ebatavalist tegevust.
Jälgige püsivust: viige läbi regulaarseid turbeauditeid, et tuvastada volitamata veebikestad, RMM-tööriistad või sisselogimislehtede ja DNS-i konfiguratsioonide muudatused.
Vahejuhtumitele reageerimise valmisolek: valmistuge võimalikeks häirivateks rünnakuteks, töötades välja kõikehõlmava reageerimisplaani ning tagades, et varukoopiad on turvalised ja regulaarselt testitud.

Viimane hoiatus

Seashell Blizzard ja selle esialgne juurdepääsu alamrühm kujutavad endast selget ja tõsist ohtu kriitilisele infrastruktuurile kogu maailmas. Nende lakkamatu püüdlus püsiva juurdepääsu poole võib olla laiaulatusliku kübersabotaaži eelkäija, mis võib häirida energiavõrke, veevarustust, transpordisüsteeme ja valitsuse toiminguid. Microsofti viimased leiud on karm meeldetuletus: järgmine suurem küberrünnak võib juba varitseda kriitilistes süsteemides ja oodata signaali tabamist.

EnigmaSofti makseprotsessor Digital River GmbH pankrotiavalduse esitamine ei mõjuta SpyHunteri klientide pahavaravastast kaitset

Otsing

Vaheta piirkonda