Kortingsaanbieding voor meerdere licenties
Computerbeveiliging Russische Seashell Blizzard-hackers breken in op kritieke...

Russische Seashell Blizzard-hackers breken in op kritieke infrastructuurdoelen, waarschuwt Microsoft

Tegen Mura in Computerbeveiliging
Vertalen naar:
Nederlands

Een gevaarlijke aan Rusland gelinkte hackersgroep, bekend als Seashell Blizzard , heeft zijn aanvallen op kritieke infrastructuur wereldwijd geïntensiveerd, wat zorgen oproept over cyberespionage en destructieve operaties op de lange termijn. Volgens een recente waarschuwing van Microsoft infiltreert deze groep niet alleen systemen met een hoge waarde, maar nestelt zich ook diep in om op de lange termijn controle te houden over gecompromitteerde netwerken.

Seashell Blizzard is een beruchte Russische bedreigingsacteur

Seashell Blizzard, ook wel bekend als APT44, BlackEnergy Lite, Sandworm, Telebots en Voodoo Bear, is al sinds 2009 een significante cyberdreiging. Er wordt algemeen aangenomen dat de groep onder de Russische militaire inlichtingendienst GRU (specifiek Unit 74455) opereert. Seashell Blizzard is berucht om zijn destructieve aanvallen, waaronder de beruchte NotPetya-ransomware die in 2017 wereldwijde bedrijven lamlegde en de KillDisk-malware die in 2015 kritieke Oekraïense systemen aanviel.

Seashell Blizzard richt zich al jaren op kritieke infrastructuursectoren zoals:

  • Energie
  • Watervoorziening
  • Overheidsinstellingen
  • Militaire netwerken
  • Telecommunicatie
  • Vervoer
  • Productie

Deze aanvallen zijn niet willekeurig: ze sluiten nauw aan bij de militaire doelstellingen van Rusland, met name in Oekraïne, waar cyberoorlogvoering een belangrijk onderdeel is van de bredere conflictstrategie van Rusland.

Een nieuwe subgroep gericht op permanente toegang

Het laatste rapport van Microsoft benadrukt de opkomst van een subgroep binnen Seashell Blizzard die al minstens vier jaar onder de radar opereert. Deze subgroep is toegewijd aan één cruciale missie: het verkrijgen van initiële toegang tot kwetsbare systemen en het creëren van langdurige persistentie. Dit stelt de hackers in staat om maanden of zelfs jaren controle te houden over gecompromitteerde systemen, klaar om op elk moment ontwrichtende aanvallen uit te voeren.

Deze inspanning, die de BadPilot-campagne wordt genoemd, is sinds 2021 gaande en richt zich op het infiltreren van waardevolle doelen om bredere netwerkcompromissen te vergemakkelijken. De methoden van de subgroep worden beschreven als sluipend en zeer opportunistisch, waarbij ze vertrouwen op kwetsbaarheden in veelgebruikte software en internetgerichte systemen.

Bekende kwetsbaarheden uitbuiten

De aanvallers maken misbruik van bekende beveiligingslekken in populaire systemen, waaronder:

  • ConnectWise Schermverbinding (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Zimbra-samenwerkingssuite (CVE-2022-41352)
  • OpenFire Chatserver (CVE-2023-32315)
  • TeamCity Build-server (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • JBOSS-servers (niet-gespecificeerde CVE)

De hackers gebruiken een agressieve “spray-and-pray”-aanpak, scannen het internet op kwetsbare systemen en vallen deze massaal aan. Eenmaal binnen nestelen ze zich met behulp van tools als web shells en Remote Monitoring and Management (RMM)-software, waarmee ze de controle over de gecompromitteerde systemen op de lange termijn veiligstellen.

Alarmerende technieken die worden gebruikt om de controle te behouden

Zodra een systeem is gecompromitteerd, maakt de subgroep gebruik van meerdere persistentietechnieken:

  • Web Shell-implementaties: bieden backdoor-toegang voor externe besturing.
  • RMM Tools: Maakt discrete toegang en verdere verspreiding van malware mogelijk.
  • Credential Harvesting: OWA-inlogpagina's en DNS-instellingen aanpassen om gebruikersreferenties te stelen.
  • JavaScript-injectie: schadelijke code toevoegen aan inlogportals om gebruikersnamen en wachtwoorden te verzamelen.

    • In verschillende gevallen ging deze aanhoudende toegang vooraf aan destructieve aanvallen, wat suggereert dat de hackers een dubbele functie hebben – spionage en sabotage – afhankelijk van de Russische militaire en geopolitieke behoeften.

    Wereldwijde expansie: VS en VK nu in het vizier

    Hoewel Oekraïne de primaire focus is van de cyberoperaties van Seashell Blizzard, onthult het rapport van Microsoft dat deze subgroep zijn bereik in 2023 heeft uitgebreid en zich richt op organisaties in de Verenigde Staten en het Verenigd Koninkrijk. De uitbreiding is een teken van een gevaarlijke verschuiving, wat suggereert dat het cyberoorlogsvoeringshandboek van Rusland zijn bereik uitbreidt naar westerse landen.

    Een aanhoudende en toenemende dreiging

    Microsoft waarschuwt dat deze subgroep niet vertraagt. Sterker nog, het zal waarschijnlijk blijven evolueren en innovatieve technieken inzetten om netwerken over de hele wereld te infiltreren. Met de aanhoudende oorlog van Rusland in Oekraïne en de toenemende geopolitieke spanningen, zouden cyberaanvallen op kritieke infrastructuur kunnen escaleren tot verwoestende gevolgen in de echte wereld.

    Uw organisatie beschermen tegen Seashell Blizzard

    Organisaties in cruciale sectoren moeten onmiddellijk actie ondernemen om zich te verdedigen tegen deze aanhoudende dreiging:

    • Bekende kwetsbaarheden verhelpen: zorg ervoor dat systemen waarop ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire en andere beoogde software draaien, volledig zijn bijgewerkt.
    • Versterk de netwerkbeveiliging: implementeer multi-factor-authenticatie (MFA), beperk de toegang tot gevoelige systemen en controleer op ongebruikelijke activiteiten.
    • Controleer op persistentie: voer regelmatig beveiligingscontroles uit om ongeautoriseerde webshells, RMM-tools of wijzigingen in inlogpagina's en DNS-configuraties te detecteren.
    • Gereedheid voor incidentrespons: bereid u voor op mogelijke verstorende aanvallen door een uitgebreid responsplan te ontwikkelen en ervoor te zorgen dat back-ups veilig zijn en regelmatig worden getest.

    Laatste waarschuwing

    Seashell Blizzard en zijn initiële toegangssubgroep vormen een duidelijk en aanwezig gevaar voor kritieke infrastructuur wereldwijd. Hun meedogenloze streven naar aanhoudende toegang zou kunnen dienen als een voorloper van grootschalige cybersabotage, die in staat is om energienetwerken, watervoorzieningen, transportsystemen en overheidsactiviteiten te verstoren. De nieuwste bevindingen van Microsoft zijn een harde herinnering: de volgende grote cyberaanval zou al op de loer kunnen liggen in kritieke systemen, wachtend op het signaal om toe te slaan.


    Bezig met laden...