Krievijas Seashell Blizzard hakeri pārkāpj kritiskās infrastruktūras mērķus, brīdina Microsoft
Bīstams ar Krieviju saistīta hakeru grupa, kas pazīstama kā Seashell Blizzard, ir pastiprinājusi uzbrukumus kritiskajai infrastruktūrai visā pasaulē, radot bažas par ilgtermiņa kiberspiegošanu un postošām operācijām. Saskaņā ar neseno Microsoft brīdinājumu šī grupa ne tikai iefiltrējas augstvērtīgās sistēmās, bet arī dziļi iegulst, lai saglabātu ilgtermiņa kontroli pār apdraudētajiem tīkliem.
Satura rādītājs
Seashell Blizzard ir bēdīgi slavens Krievijas draudu aktieris
Seashell Blizzard, kas izsekots arī kā APT44, BlackEnergy Lite, Sandworm, Telebots un Voodoo Bear, ir bijis nozīmīgs kiberdrauds vismaz kopš 2009. gada. Tiek uzskatīts, ka grupa darbojas Krievijas militārās izlūkošanas aģentūras GRU (konkrēti vienība 74455) pakļautībā. Seashell Blizzard ir bēdīgi slavena ar saviem destruktīvajiem uzbrukumiem, tostarp bēdīgi slaveno NotPetya izpirkuma programmatūru, kas 2017. gadā kropļoja globālos uzņēmumus, un KillDisk ļaunprogrammatūru , kas 2015. gadā bija vērsta pret Ukrainas kritiskajām sistēmām.
Gadu gaitā Seashell Blizzard ir mērķējis uz tādām kritiskās infrastruktūras nozarēm kā:
- Enerģija
- Ūdens apgāde
- Valdības institūcijas
- Militārie tīkli
- Telekomunikācijas
- Transports
- Ražošana
Šie uzbrukumi nav nejauši – tie cieši saskan ar Krievijas militārajiem mērķiem, jo īpaši Ukrainā, kur kiberkarš ir bijusi galvenā Krievijas plašākas konflikta stratēģijas sastāvdaļa.
Jauna apakšgrupa, kas vērsta uz pastāvīgu piekļuvi
Microsoft jaunākajā ziņojumā ir uzsvērta apakšgrupas parādīšanās Seashell Blizzard, kas ir darbojusies zem radara vismaz četrus gadus. Šī apakšgrupa ir veltīta vienai kritiskai misijai: sākotnējās piekļuves iegūšanai neaizsargātām sistēmām un ilgtermiņa noturības nodrošināšanai. Tas ļauj hakeriem saglabāt kontroli pār kompromitētām sistēmām vairākus mēnešus vai pat gadus, un viņi ir gatavi jebkurā brīdī uzsākt traucējošus uzbrukumus.
Šie centieni tiek saukti par BadPilot kampaņu , un tie turpinās kopš 2021. gada, koncentrējoties uz vērtīgu mērķu iefiltrēšanos, lai veicinātu plašākus tīkla kompromisus. Apakšgrupas metodes tiek raksturotas kā slepenas un ļoti oportūnistiskas, balstoties uz plaši izmantotas programmatūras un interneta sistēmu ievainojamībām.
Zināmo ievainojamību izmantošana
Uzbrucēji izmanto labi zināmas drošības nepilnības populārās sistēmās, tostarp:
- ConnectWise ScreenConnect (CVE-2024-1709)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Microsoft Exchange (CVE-2021-34473)
- Zimbra Collaboration Suite (CVE-2022-41352)
- OpenFire tērzēšanas serveris (CVE-2023-32315)
- TeamCity Build Server (CVE-2023-42793)
- Microsoft Outlook (CVE-2023-23397)
- JBOSS serveri (nenorādīts CVE)
Hakeri izmanto agresīvu "izsmidziniet un lūdziet" pieeju, meklējot internetu, lai atrastu neaizsargātas sistēmas un masveidā uzbrūkot tām. Nokļūstot iekšā, viņi iegulst sevi, izmantojot tādus rīkus kā tīmekļa čaulas un attālās uzraudzības un pārvaldības (RMM) programmatūru, nodrošinot ilgtermiņa kontroli pār apdraudētajām sistēmām.
Trauksmes paņēmieni, ko izmanto kontroles uzturēšanai
Kad sistēma ir apdraudēta, apakšgrupa izvieto vairākas noturības metodes:
- Tīmekļa apvalka izvietošana: tālvadības pults piekļuves nodrošināšana aizmugures durvīm.
- RMM rīki: nodrošina diskrētu piekļuvi un turpmāku ļaunprātīgas programmatūras izvietošanu.
Vairākos gadījumos šī pastāvīgā piekļuve notika pirms destruktīviem uzbrukumiem, kas liecina, ka hakeri saglabā divējāda mērķa spējas - spiegošanu un sabotāžu - atkarībā no Krievijas militārajām un ģeopolitiskajām vajadzībām.
Globālā paplašināšanās: ASV un Lielbritānija tagad ir krustcelēs
Lai gan Ukraina ir bijusi Seashell Blizzard kiberoperāciju galvenā uzmanība, Microsoft ziņojums atklāj, ka šī apakšgrupa 2023. gadā paplašināja savu darbības jomu, mērķējot uz organizācijām Amerikas Savienotajās Valstīs un Apvienotajā Karalistē. Paplašināšanās liecina par bīstamām pārmaiņām, kas liecina, ka Krievijas kiberkara rokasgrāmata paplašina savu darbības jomu, iekļaujot Rietumu valstis.
Pastāvīgi un pieaugoši draudi
Microsoft brīdina, ka šī apakšgrupa nepalēninās. Faktiski tas, visticamāk, turpinās attīstīties un ieviest novatoriskas metodes, lai iefiltrētos tīklos visā pasaulē. Tā kā Krievija turpinās karu Ukrainā un pieaug ģeopolitiskā spriedze, kiberuzbrukumi kritiskajai infrastruktūrai var pāraugt postošās reālās pasaules sekās.
Jūsu organizācijas aizsardzība pret gliemežvāku puteni
Organizācijām kritiskajās nozarēs ir nekavējoties jārīkojas, lai aizsargātos pret šiem pastāvīgajiem draudiem:
- Labojiet zināmās ievainojamības: nodrošiniet, lai sistēmas, kurās darbojas ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire un cita mērķprogrammatūra, būtu pilnībā atjauninātas.
- Stipriniet tīkla drošību: izvietojiet daudzfaktoru autentifikāciju (MFA), ierobežojiet piekļuvi sensitīvām sistēmām un uzraugiet neparastas darbības.
- Noturības uzraudzība: veiciet regulāras drošības pārbaudes, lai atklātu nesankcionētus tīmekļa čaulas, RMM rīkus vai izmaiņas pieteikšanās lapās un DNS konfigurācijās.
- Gatavība reaģēšanai uz incidentiem: sagatavojieties iespējamiem traucējošiem uzbrukumiem, izstrādājot visaptverošu reaģēšanas plānu un nodrošinot, ka dublējumkopijas ir drošas un regulāri tiek pārbaudītas.
Pēdējais brīdinājums
Seashell Blizzard un tā sākotnējās piekļuves apakšgrupa ir nepārprotami apdraudēta kritiskā infrastruktūra visā pasaulē. Viņu nerimstošā tiekšanās pēc pastāvīgas piekļuves varētu kalpot par priekšteci liela mēroga kibersabotāžai, kas var traucēt enerģijas tīklus, ūdens apgādi, transporta sistēmas un valdības darbības. Microsoft jaunākie atklājumi ir spilgts atgādinājums: nākamais lielais kiberuzbrukums jau varētu slēpties kritisko sistēmu iekšienē, gaidot signāla triecienu.