Cotație de reducere pentru licențe multiple
Securitatea computerelor Hackerii ruși Seashell Blizzard încalcă țintele de...

Hackerii ruși Seashell Blizzard încalcă țintele de infrastructură critică, avertizează Microsoft

Până în Mura în Securitatea computerelor
Tradu in:
Română

Un grup periculos de hacking legat de Rusia, cunoscut sub numele de Seashell Blizzard, și-a intensificat atacurile asupra infrastructurii critice din întreaga lume, stârnind îngrijorări cu privire la spionajul cibernetic și operațiunile distructive pe termen lung. Potrivit unui avertisment recent de la Microsoft, acest grup nu numai că se infiltrează în sistemele de mare valoare, ci și se înglobează profund pentru a menține controlul pe termen lung asupra rețelelor compromise.

Seashell Blizzard este un actor rus de notorietate

Seashell Blizzard, urmărit și ca APT44, BlackEnergy Lite, Sandworm, Telebots și Voodoo Bear, a fost o amenințare cibernetică semnificativă din cel puțin 2009. Se crede că grupul operează sub agenția de informații militare a Rusiei, GRU (în special Unitatea 74455). Seashell Blizzard este renumit pentru atacurile sale distructive, inclusiv infamul ransomware NotPetya care a paralizat afacerile globale în 2017 și programul malware KillDisk care a vizat sistemele critice ucrainene în 2015.

De-a lungul anilor, Seashell Blizzard a vizat sectoare critice de infrastructură, cum ar fi:

  • Energie
  • Aprovizionare cu apă
  • Institutii guvernamentale
  • Rețele militare
  • Telecomunicatii
  • Transport
  • Fabricarea

Aceste atacuri nu sunt întâmplătoare – ele se aliniază îndeaproape cu obiectivele militare rusești, în special în Ucraina, unde războiul cibernetic a fost o componentă cheie a strategiei de conflict mai ample a Rusiei.

Un nou subgrup concentrat pe acces persistent

Cel mai recent raport al Microsoft evidențiază apariția unui subgrup în cadrul Seashell Blizzard care operează sub radar de cel puțin patru ani. Acest subgrup este dedicat unei singure misiuni critice: obținerea accesului inițial la sistemele vulnerabile și stabilirea persistenței pe termen lung. Acest lucru le permite hackerilor să mențină controlul asupra sistemelor compromise luni sau chiar ani, gata să lanseze atacuri perturbatoare în orice moment.

Denumită campania BadPilot , acest efort continuă din 2021, concentrându-se pe infiltrarea țintelor de mare valoare pentru a facilita compromisuri mai largi ale rețelei. Metodele subgrupului sunt descrise ca fiind furtive și extrem de oportuniste, bazându-se pe vulnerabilități în software-ul utilizat pe scară largă și în sistemele care se confruntă cu internet.

Exploatarea vulnerabilităților cunoscute

Atacatorii exploatează defecte de securitate binecunoscute în sistemele populare, inclusiv:

  • ConnectWise ScreenConnect (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Suită de colaborare Zimbra (CVE-2022-41352)
  • Server de chat OpenFire (CVE-2023-32315)
  • TeamCity Build Server (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • Servere JBOSS (CVE nespecificat)

Hackerii folosesc o abordare agresivă „spray-and-pray”, scanând internetul pentru sisteme vulnerabile și atacându-le în masă. Odată înăuntru, se încorporează folosind instrumente precum shell-uri web și software-ul de monitorizare și management de la distanță (RMM), asigurând control pe termen lung asupra sistemelor compromise.

Tehnici de alarmare utilizate pentru a menține controlul

Odată ce un sistem este compromis, subgrupul implementează mai multe tehnici de persistență:

  • Implementări Web Shell: Furnizarea de acces backdoor pentru control de la distanță.
  • Instrumente RMM: Permiterea accesului discret și implementarea ulterioară a programelor malware.
  • Recoltarea acreditărilor: modificarea paginilor de conectare OWA și a setărilor DNS pentru a fura acreditările utilizatorului.
  • Injecție JavaScript: Adăugarea de cod rău intenționat la portalurile de conectare pentru a aduna nume de utilizator și parole.

    • În mai multe cazuri, acest acces persistent a precedat atacurile distructive, sugerând că hackerii mențin o capacitate cu dublu scop – spionaj și sabotaj – în funcție de nevoile militare și geopolitice ale Rusiei.

    Expansiune globală: SUA și Marea Britanie acum în miză

    În timp ce Ucraina a fost punctul central al operațiunilor cibernetice ale Seashell Blizzard, raportul Microsoft dezvăluie că acest subgrup și-a extins acoperirea în 2023, vizând organizații din Statele Unite și Regatul Unit. Extinderea semnalează o schimbare periculoasă, sugerând că manualul de război cibernetic al Rusiei își extinde domeniul de aplicare pentru a include națiunile occidentale.

    O amenințare persistentă și în creștere

    Microsoft avertizează că acest subgrup nu încetinește. De fapt, este probabil să continue să evolueze și să implementeze tehnici inovatoare pentru a se infiltra în rețelele de pe tot globul. Odată cu războiul în curs de desfășurare al Rusiei în Ucraina și tensiunile geopolitice în creștere, atacurile cibernetice împotriva infrastructurii critice ar putea escalada în consecințe devastatoare în lumea reală.

    Protejează-ți organizația împotriva Seashell Blizzard

    Organizațiile din sectoarele critice trebuie să ia măsuri imediate pentru a se apăra împotriva acestei amenințări persistente:

    • Patch-uri de vulnerabilități cunoscute: Asigurați-vă că sistemele care rulează ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire și alte software-uri vizate sunt complet actualizate.
    • Consolidați securitatea rețelei: implementați autentificarea cu mai mulți factori (MFA), restricționați accesul la sistemele sensibile și monitorizați activitățile neobișnuite.
    • Monitorizare persistență: Efectuați audituri de securitate regulate pentru a detecta shell-uri web neautorizate, instrumente RMM sau modificări ale paginilor de conectare și configurațiilor DNS.
    • Pregătirea pentru răspuns la incident: pregătiți-vă pentru potențiale atacuri perturbatoare prin dezvoltarea unui plan de răspuns cuprinzător și asigurându-vă că backup-urile sunt sigure și testate în mod regulat.

    Avertisment final

    Seashell Blizzard și subgrupul său de acces inițial reprezintă un pericol clar și prezent pentru infrastructura critică la nivel global. Căutarea lor neobosită de acces persistent ar putea servi ca un precursor al sabotajului cibernetic la scară largă, capabil să perturbe rețelele de energie, aprovizionarea cu apă, sistemele de transport și operațiunile guvernamentale. Cele mai recente descoperiri ale Microsoft sunt un memento dur: următorul atac cibernetic major ar putea fi deja pândit în sistemele critice, așteptând semnalul să lovească.


    Se încarcă...