Rosyjscy hakerzy Seashell Blizzard naruszają krytyczne cele infrastruktury, ostrzega Microsoft
Niebezpieczna grupa hakerska powiązana z Rosją, znana jako Seashell Blizzard, nasiliła ataki na krytyczną infrastrukturę na całym świecie, co budzi obawy o długoterminowy cybernetyczny szpiegostwo i destrukcyjne operacje. Według niedawnego ostrzeżenia Microsoftu, grupa ta nie tylko infiltruje systemy o wysokiej wartości, ale także głęboko się w nich osadza, aby utrzymać długoterminową kontrolę nad zagrożonymi sieciami.
Spis treści
Seashell Blizzard to znany rosyjski aktor stanowiący zagrożenie
Seashell Blizzard, śledzony również jako APT44, BlackEnergy Lite, Sandworm, Telebots i Voodoo Bear, stanowi poważne zagrożenie cybernetyczne od co najmniej 2009 roku. Powszechnie uważa się, że grupa działa pod agencją wywiadu wojskowego Rosji, GRU (konkretnie Unit 74455). Seashell Blizzard jest znany ze swoich destrukcyjnych ataków, w tym niesławnego ransomware NotPetya, który sparaliżował globalne firmy w 2017 roku, oraz złośliwego oprogramowania KillDisk , które zaatakowało ukraińskie systemy krytyczne w 2015 roku.
Przez lata Seashell Blizzard skupiał się na takich sektorach infrastruktury krytycznej jak:
- Energia
- Zaopatrzenie w wodę
- Instytucje rządowe
- Sieci wojskowe
- Telekomunikacja
- Transport
- Produkcja
Ataki te nie są przypadkowe – są ściśle powiązane z rosyjskimi celami militarnymi, zwłaszcza na Ukrainie, gdzie cyberwojna stanowi kluczowy element szerszej strategii konfliktu Rosji.
Nowa podgrupa skupiająca się na trwałym dostępie
Najnowszy raport Microsoftu podkreśla pojawienie się podgrupy w Seashell Blizzard, która działa pod radarem od co najmniej czterech lat. Ta podgrupa jest oddana jednej krytycznej misji: uzyskaniu wstępnego dostępu do podatnych systemów i ustanowieniu długoterminowej trwałości. Umożliwia to hakerom utrzymanie kontroli nad naruszonymi systemami przez miesiące, a nawet lata, gotowość do przeprowadzenia destrukcyjnych ataków w każdej chwili.
Kampania BadPilot , ta inicjatywa trwa od 2021 r. i koncentruje się na infiltracji celów o wysokiej wartości, aby ułatwić szersze naruszenia sieci. Metody podgrupy są opisywane jako ukryte i wysoce oportunistyczne, polegające na lukach w powszechnie używanym oprogramowaniu i systemach skierowanych do Internetu.
Wykorzystywanie znanych luk
Napastnicy wykorzystują znane luki w zabezpieczeniach popularnych systemów, w tym:
- Połącz ekran ConnectWise (CVE-2024-1709)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Microsoft Exchange (CVE-2021-34473)
- Pakiet Zimbra Collaboration Suite (CVE-2022-41352)
- Serwer czatu OpenFire (CVE-2023-32315)
- Serwer kompilacji TeamCity (CVE-2023-42793)
- Microsoft Outlook (CVE-2023-23397)
- Serwery JBOSS (nieokreślony CVE)
Hakerzy stosują agresywne podejście „spray-and-pray”, skanując internet w poszukiwaniu podatnych systemów i atakując je masowo. Po dostaniu się do środka, osadzają się za pomocą narzędzi, takich jak web shells i oprogramowanie do zdalnego monitorowania i zarządzania (RMM), zapewniając sobie długoterminową kontrolę nad zagrożonymi systemami.
Alarmujące techniki stosowane w celu utrzymania kontroli
Gdy system zostanie naruszony, podgrupa wdraża wiele technik zapewniających trwałość:
- Wdrożenia powłoki Web Shell: zapewnienie dostępu typu backdoor w celu zdalnego sterowania.
- Narzędzia RMM: umożliwiają dyskretny dostęp i dalsze wdrażanie złośliwego oprogramowania.
W kilku przypadkach stały dostęp poprzedzał ataki destrukcyjne, co sugeruje, że hakerzy wykorzystują potencjał podwójnego zastosowania – szpiegostwa i sabotażu – w zależności od rosyjskich potrzeb militarnych i geopolitycznych.
Ekspansja globalna: USA i Wielka Brytania teraz na celowniku
Podczas gdy Ukraina była głównym celem cyberoperacji Seashell Blizzard, raport Microsoftu ujawnia, że ta podgrupa rozszerzyła swój zasięg w 2023 r., atakując organizacje w Stanach Zjednoczonych i Wielkiej Brytanii. Ekspansja ta sygnalizuje niebezpieczną zmianę, sugerując, że rosyjski podręcznik cyberwojny rozszerza swój zakres, aby objąć kraje zachodnie.
Stałe i narastające zagrożenie
Microsoft ostrzega, że ta podgrupa nie zwalnia tempa. W rzeczywistości prawdopodobnie będzie nadal ewoluować i wdrażać innowacyjne techniki infiltracji sieci na całym świecie. W obliczu trwającej wojny Rosji na Ukrainie i rosnących napięć geopolitycznych cyberataki na krytyczną infrastrukturę mogą przerodzić się w niszczycielskie konsekwencje w świecie rzeczywistym.
Ochrona Twojej Organizacji Przed Zamiecią Morską
Organizacje działające w sektorach krytycznych muszą podjąć natychmiastowe działania w celu obrony przed tym stałym zagrożeniem:
- Napraw znane luki w zabezpieczeniach: Upewnij się, że systemy, na których działają ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire i inne oprogramowanie, są w pełni zaktualizowane.
- Wzmocnij bezpieczeństwo sieci: wdróż uwierzytelnianie wieloskładnikowe (MFA), ogranicz dostęp do poufnych systemów i monitoruj nietypową aktywność.
- Monitoruj trwałość: przeprowadzaj regularne audyty bezpieczeństwa w celu wykrywania nieautoryzowanych powłok internetowych, narzędzi RMM lub modyfikacji stron logowania i konfiguracji DNS.
- Gotowość do reagowania na incydenty: Przygotuj się na potencjalne ataki zakłócające, opracowując kompleksowy plan reagowania i dbając o bezpieczeństwo kopii zapasowych oraz regularne ich testowanie.
Ostatnie ostrzeżenie
Seashell Blizzard i jego podgrupa początkowego dostępu stanowią wyraźne i obecne zagrożenie dla krytycznej infrastruktury na całym świecie. Ich nieustanne dążenie do stałego dostępu może być prekursorem cybersabotażu na dużą skalę, zdolnego do zakłócenia sieci energetycznych, dostaw wody, systemów transportowych i operacji rządowych. Najnowsze odkrycia Microsoftu są jaskrawym przypomnieniem: kolejny poważny cyberatak może już czaić się w krytycznych systemach, czekając na sygnał do uderzenia.