Ruski Seashell Blizzard hakeri probili kritične infrastrukturne ciljeve, Microsoft upozorava

Opasna hakerska skupina povezana s Rusijom poznata kao Seashell Blizzard intenzivirala je svoje napade na kritičnu infrastrukturu diljem svijeta, izazivajući zabrinutost zbog dugotrajne kibernetičke špijunaže i destruktivnih operacija. Prema nedavnom upozorenju Microsofta, ova skupina ne samo da se infiltrira u sustave visoke vrijednosti, već se i duboko ugrađuje kako bi održala dugoročnu kontrolu nad ugroženim mrežama.

Seashell Blizzard je notorna ruska prijetnja

Seashell Blizzard, koji se također prati kao APT44, BlackEnergy Lite, Sandworm, Telebots i Voodoo Bear, predstavlja značajnu kibernetičku prijetnju barem od 2009. Općenito se vjeruje da skupina djeluje pod ruskom vojno-obavještajnom agencijom GRU (točnije jedinica 74455). Seashell Blizzard poznat je po svojim destruktivnim napadima, uključujući zloglasni ransomware NotPetya koji je osakatio globalna poduzeća 2017. i zlonamjerni softver KillDisk koji je 2015. ciljao ukrajinske kritične sustave.

Tijekom godina Seashell Blizzard ciljao je na kritične infrastrukturne sektore kao što su:

• energija
• Vodoopskrba
• Državne institucije
• Vojne mreže
• Telekomunikacija
• Prijevoz
• Proizvodnja

Ovi napadi nisu nasumični – oni su usko povezani s ruskim vojnim ciljevima, posebno u Ukrajini, gdje je kibernetičko ratovanje ključna komponenta ruske šire strategije sukoba.

Nova podskupina usmjerena na trajni pristup

Microsoftovo najnovije izvješće naglašava pojavu podgrupe unutar Seashell Blizzarda koja djeluje ispod radara najmanje četiri godine. Ova je podskupina posvećena jednoj kritičnoj misiji: dobivanju početnog pristupa ranjivim sustavima i uspostavljanju dugoročne postojanosti. To hakerima omogućuje da zadrže kontrolu nad kompromitiranim sustavima mjesecima ili čak godinama, spremni pokrenuti destruktivne napade u svakom trenutku.

Pod nazivom BadPilot kampanja , ovaj napor traje od 2021., fokusirajući se na infiltraciju visokovrijednih ciljeva kako bi se omogućili širi mrežni kompromisi. Metode podskupine opisane su kao prikrivene i vrlo oportunističke, oslanjajući se na ranjivosti u široko korištenom softveru i sustavima okrenutim prema internetu.

Iskorištavanje poznatih ranjivosti

Napadači iskorištavaju dobro poznate sigurnosne propuste u popularnim sustavima, uključujući:

• ConnectWise ScreenConnect (CVE-2024-1709)
• Fortinet FortiClient EMS (CVE-2023-48788)
• Microsoft Exchange (CVE-2021-34473)
• Zimbra Collaboration Suite (CVE-2022-41352)
• OpenFire poslužitelj za razgovor (CVE-2023-32315)
• TeamCity Build Server (CVE-2023-42793)
• Microsoft Outlook (CVE-2023-23397)
• JBOSS poslužitelji (neodređeni CVE)

Hakeri koriste agresivan pristup "prskaj i moli", skenirajući internet tražeći ranjive sustave i masovno ih napadajući. Kad uđu unutra, ugrađuju se pomoću alata kao što su web školjke i softver za daljinsko praćenje i upravljanje (RMM), osiguravajući dugoročnu kontrolu nad ugroženim sustavima.

Alarmne tehnike koje se koriste za održavanje kontrole

Nakon što je sustav ugrožen, podskupina primjenjuje više tehnika upornosti:

• Web Shell implementacije: Pružanje backdoor pristupa za daljinsko upravljanje.
• RMM alati: Omogućuju diskretan pristup i daljnju implementaciju zlonamjernog softvera.

U nekoliko je slučajeva ovaj uporni pristup prethodio destruktivnim napadima, što sugerira da hakeri održavaju sposobnost dvostruke namjene – špijunažu i sabotažu – ovisno o ruskim vojnim i geopolitičkim potrebama.

Globalna ekspanzija: SAD i UK sada na nišanu

Iako je Ukrajina bila primarni fokus cyber operacija Seashell Blizzarda, Microsoftovo izvješće otkriva da je ova podskupina proširila svoj doseg 2023., ciljajući na organizacije u Sjedinjenim Državama i Ujedinjenom Kraljevstvu. Širenje signalizira opasnu promjenu, sugerirajući da ruski priručnik o cyber ratovanju proširuje svoj opseg kako bi uključio zapadne nacije.

Stalna i eskalirajuća prijetnja

Microsoft upozorava da ova podskupina ne usporava. Zapravo, vjerojatno će se nastaviti razvijati i primjenjivati inovativne tehnike za infiltraciju u mreže diljem svijeta. Uz tekući rat Rusije u Ukrajini i rastuće geopolitičke napetosti, kibernetički napadi na kritičnu infrastrukturu mogli bi eskalirati u razorne posljedice u stvarnom svijetu.

Zaštita vaše organizacije od Seashell Blizzarda

Organizacije u kritičnim sektorima moraju odmah poduzeti mjere za obranu od ove stalne prijetnje:

• Zakrpa poznate ranjivosti: Osigurajte da su sustavi koji pokreću ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire i drugi ciljani softver potpuno ažurirani.
• Ojačajte mrežnu sigurnost: implementirajte multi-factor autentifikaciju (MFA), ograničite pristup osjetljivim sustavima i pratite neuobičajene aktivnosti.
• Pratite postojanost: Provedite redovite sigurnosne revizije kako biste otkrili neovlaštene web ljuske, RMM alate ili izmjene stranica za prijavu i DNS konfiguracija.
• Spremnost za odgovor na incidente: Pripremite se za potencijalne destruktivne napade razvijanjem opsežnog plana odgovora i osiguravanjem da su sigurnosne kopije sigurne i redovito testirane.

Posljednje upozorenje

Seashell Blizzard i njegova početna pristupna podskupina predstavljaju jasnu i aktualnu opasnost za kritičnu infrastrukturu na globalnoj razini. Njihova neumoljiva potraga za stalnim pristupom mogla bi poslužiti kao preteča kibernetičke sabotaže velikih razmjera, koja može poremetiti energetske mreže, opskrbu vodom, transportne sustave i vladine operacije. Microsoftova posljednja otkrića snažan su podsjetnik: sljedeći veliki kibernetički napad mogao bi već vrebati unutar kritičnih sustava, čekajući signal za napad.