Russiske Seashell Blizzard Hackere bryter kritiske infrastrukturmål, advarer Microsoft
En farlig russisk-tilknyttet hackergruppe kjent som Seashell Blizzard har intensivert sine angrep på kritisk infrastruktur over hele verden, noe som vekker bekymring for langsiktig cyberspionasje og destruktive operasjoner. I følge en nylig advarsel fra Microsoft infiltrerer denne gruppen ikke bare systemer med høy verdi, men bygger seg også dypt inn for å opprettholde langsiktig kontroll over kompromitterte nettverk.
Innholdsfortegnelse
Seashell Blizzard er en beryktet russisk trusselskuespiller
Seashell Blizzard, også sporet som APT44, BlackEnergy Lite, Sandworm, Telebots og Voodoo Bear, har vært en betydelig cybertrussel siden minst 2009. Det antas at gruppen opererer under Russlands militære etterretningsbyrå, GRU (nærmere bestemt Unit 74455). Seashell Blizzard er beryktet for sine destruktive angrep, inkludert den beryktede NotPetya løsepengevaren som lammet globale virksomheter i 2017 og KillDisk malware som målrettet ukrainske kritiske systemer i 2015.
Gjennom årene har Seashell Blizzard rettet seg mot kritiske infrastruktursektorer som:
- Energi
- Vannforsyning
- Statlige institusjoner
- Militære nettverk
- Telekommunikasjon
- Transport
- Produksjon
Disse angrepene er ikke tilfeldige – de samsvarer tett med russiske militære mål, spesielt i Ukraina, hvor nettkrigføring har vært en nøkkelkomponent i Russlands bredere konfliktstrategi.
En ny undergruppe med fokus på vedvarende tilgang
Microsofts siste rapport fremhever fremveksten av en undergruppe innen Seashell Blizzard som har operert under radaren i minst fire år. Denne undergruppen er dedikert til ett kritisk oppdrag: å få innledende tilgang til sårbare systemer og etablere langsiktig utholdenhet. Dette gjør det mulig for hackerne å opprettholde kontroll over kompromitterte systemer i måneder eller til og med år, klare til å starte forstyrrende angrep når som helst.
Denne innsatsen, kalt BadPilot-kampanjen , har pågått siden 2021, med fokus på å infiltrere verdifulle mål for å legge til rette for bredere nettverkskompromisser. Undergruppens metoder beskrives som snikende og svært opportunistiske, og er avhengige av sårbarheter i mye brukt programvare og internettvendte systemer.
Utnyttelse av kjente sårbarheter
Angriperne utnytter velkjente sikkerhetsfeil i populære systemer, inkludert:
- ConnectWise ScreenConnect (CVE-2024-1709)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Microsoft Exchange (CVE-2021-34473)
- Zimbra Collaboration Suite (CVE-2022-41352)
- OpenFire Chat Server (CVE-2023-32315)
- TeamCity Build Server (CVE-2023-42793)
- Microsoft Outlook (CVE-2023-23397)
- JBOSS-servere (uspesifisert CVE)
Hackerne bruker en aggressiv "spray-og-be"-tilnærming, skanner internett for sårbare systemer og angriper dem massevis. Når de først er inne, bygger de seg inn ved hjelp av verktøy som web-skall og programvare for ekstern overvåking og administrasjon (RMM), og sikrer langsiktig kontroll over de kompromitterte systemene.
Alarmeringsteknikker som brukes for å opprettholde kontroll
Når et system er kompromittert, bruker undergruppen flere utholdenhetsteknikker:
- Web Shell-implementeringer: Gir bakdørstilgang for fjernkontroll.
- RMM-verktøy: Tillater diskret tilgang og ytterligere distribusjon av skadelig programvare.
I flere tilfeller gikk denne vedvarende tilgangen foran destruktive angrep, noe som tyder på at hackerne opprettholder en funksjon med to formål – spionasje og sabotasje – avhengig av russiske militære og geopolitiske behov.
Global utvidelse: USA og Storbritannia nå i trådkorset
Mens Ukraina har vært hovedfokuset for Seashell Blizzards cyberoperasjoner, avslører Microsofts rapport at denne undergruppen utvidet rekkevidden i 2023, rettet mot organisasjoner i USA og Storbritannia. Utvidelsen signaliserer et farlig skifte, noe som antyder at Russlands cyberkrigføringsbok utvider omfanget til å omfatte vestlige nasjoner.
En vedvarende og eskalerende trussel
Microsoft advarer om at denne undergruppen ikke bremser opp. Faktisk vil det sannsynligvis fortsette å utvikle seg og distribuere innovative teknikker for å infiltrere nettverk over hele verden. Med Russlands pågående krig i Ukraina og økende geopolitiske spenninger, kan cyberangrep mot kritisk infrastruktur eskalere til ødeleggende konsekvenser i den virkelige verden.
Beskytt organisasjonen din mot Seashell Blizzard
Organisasjoner i kritiske sektorer må iverksette umiddelbare tiltak for å forsvare seg mot denne vedvarende trusselen:
- Oppdater kjente sårbarheter: Sørg for at systemer som kjører ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire og annen målrettet programvare er fullstendig oppdatert.
- Styrk nettverkssikkerhet: Implementer multifaktorautentisering (MFA), begrens tilgangen til sensitive systemer og overvåk for uvanlig aktivitet.
- Overvåk for utholdenhet: Gjennomfør regelmessige sikkerhetsrevisjoner for å oppdage uautoriserte nettskall, RMM-verktøy eller modifikasjoner av påloggingssider og DNS-konfigurasjoner.
- Hendelsesresponsberedskap: Forbered deg på potensielle forstyrrende angrep ved å utvikle en omfattende responsplan og sørge for at sikkerhetskopier er sikre og regelmessig testet.
Siste advarsel
Seashell Blizzard og dens første tilgangsundergruppe representerer en klar og nåværende fare for kritisk infrastruktur globalt. Deres nådeløse streben etter vedvarende tilgang kan tjene som en forløper for storskala cybersabotasje, i stand til å forstyrre energinett, vannforsyninger, transportsystemer og offentlige operasjoner. Microsofts siste funn er en sterk påminnelse: Det neste store cyberangrepet kan allerede lurer inne i kritiske systemer og venter på at signalet skal slå til.