Microsoft предупреждает, что российские хакеры Seashell Blizzard взломали критически важные объекты инфраструктуры
Опасная хакерская группа, связанная с Россией, известная как Seashell Blizzard, усилила свои атаки на критическую инфраструктуру по всему миру, вызывая опасения по поводу долгосрочного кибершпионажа и разрушительных операций. Согласно недавнему предупреждению от Microsoft, эта группа не только проникает в высокоценные системы, но и глубоко внедряется, чтобы сохранять долгосрочный контроль над скомпрометированными сетями.
Оглавление
Seashell Blizzard — известный российский актёр-угроза
Seashell Blizzard, также известная как APT44, BlackEnergy Lite, Sandworm, Telebots и Voodoo Bear, представляет собой серьезную киберугрозу по крайней мере с 2009 года. Широко распространено мнение, что эта группа действует под началом российского военного разведывательного агентства ГРУ (в частности, подразделения 74455). Seashell Blizzard печально известна своими разрушительными атаками, включая печально известную программу-вымогатель NotPetya, которая парализовала глобальные компании в 2017 году, и вредоносную программу KillDisk , которая атаковала критически важные украинские системы в 2015 году.
На протяжении многих лет Seashell Blizzard ориентировалась на такие критически важные инфраструктурные сектора, как:
- Энергия
- Водоснабжение
- Государственные учреждения
- Военные сети
- Телекоммуникации
- Транспорт
- Производство
Эти атаки не случайны — они тесно связаны с военными целями России, особенно на Украине, где кибервойна стала ключевым компонентом более широкой стратегии России по ведению конфликта.
Новая подгруппа, ориентированная на постоянный доступ
В последнем отчете Microsoft подчеркивается появление подгруппы в Seashell Blizzard, которая действовала в тайне по меньшей мере четыре года. Эта подгруппа посвящена одной важной миссии: получению первоначального доступа к уязвимым системам и установлению долгосрочной устойчивости. Это позволяет хакерам сохранять контроль над скомпрометированными системами в течение месяцев или даже лет, будучи готовыми в любой момент начать разрушительные атаки.
Названная кампанией BadPilot , эта работа ведется с 2021 года, фокусируясь на проникновении в высокоприбыльные цели для содействия более масштабным взломам сети. Методы подгруппы описываются как скрытные и крайне оппортунистические, полагающиеся на уязвимости в широко используемом программном обеспечении и системах, выходящих в Интернет.
Использование известных уязвимостей
Злоумышленники используют известные уязвимости безопасности популярных систем, в том числе:
- ConnectWise ScreenConnect (CVE-2024-1709)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Microsoft Exchange (CVE-2021-34473)
- Пакет решений для совместной работы Zimbra (CVE-2022-41352)
- Сервер чата OpenFire (CVE-2023-32315)
- Сервер сборки TeamCity (CVE-2023-42793)
- Microsoft Outlook (CVE-2023-23397)
- Серверы JBOSS (CVE не указан)
Хакеры используют агрессивный подход «spray-and-pray», сканируя интернет на предмет уязвимых систем и атакуя их массово. Оказавшись внутри, они внедряются, используя такие инструменты, как веб-шеллы и программное обеспечение удаленного мониторинга и управления (RMM), обеспечивая долгосрочный контроль над скомпрометированными системами.
Тревожные методы, используемые для сохранения контроля
После взлома системы подгруппа применяет несколько методов обеспечения устойчивости:
- Развертывания Web Shell: предоставление бэкдор-доступа для удаленного управления.
- Инструменты RMM: обеспечивают скрытный доступ и дальнейшее развертывание вредоносного ПО.
В ряде случаев такой постоянный доступ предшествовал разрушительным атакам, что позволяет предположить, что хакеры сохраняют двойную направленность — шпионаж и саботаж — в зависимости от российских военных и геополитических потребностей.
Глобальная экспансия: США и Великобритания теперь под прицелом
В то время как Украина была основным объектом киберопераций Seashell Blizzard, отчет Microsoft показывает, что эта подгруппа расширила свое влияние в 2023 году, нацелившись на организации в Соединенных Штатах и Соединенном Королевстве. Расширение сигнализирует об опасном сдвиге, предполагая, что российская стратегия кибервойны расширяет свои рамки, включая западные страны.
Постоянная и растущая угроза
Microsoft предупреждает, что эта подгруппа не сбавляет обороты. На самом деле, она, скорее всего, продолжит развиваться и внедрять инновационные методы для проникновения в сети по всему миру. С продолжающейся войной России на Украине и растущей геополитической напряженностью кибератаки на критически важную инфраструктуру могут перерасти в разрушительные последствия в реальном мире.
Защита вашей организации от Seashell Blizzard
Организации в критически важных секторах должны принять немедленные меры для защиты от этой постоянной угрозы:
- Устраните известные уязвимости: убедитесь, что системы, на которых запущены ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire и другое целевое программное обеспечение, полностью обновлены.
- Укрепляйте безопасность сети: внедряйте многофакторную аутентификацию (MFA), ограничивайте доступ к конфиденциальным системам и отслеживайте необычную активность.
- Мониторинг на предмет устойчивости: проводите регулярные аудиты безопасности для обнаружения несанкционированных веб-оболочек, инструментов RMM или изменений страниц входа и конфигураций DNS.
- Готовность к реагированию на инциденты: подготовьтесь к потенциальным разрушительным атакам, разработав комплексный план реагирования и обеспечив безопасность и регулярное тестирование резервных копий.
Последнее предупреждение
Seashell Blizzard и ее подгруппа первоначального доступа представляют собой явную и реальную опасность для критической инфраструктуры во всем мире. Их неустанное стремление к постоянному доступу может стать предвестником крупномасштабного киберсаботажа, способного нарушить работу энергосетей, водоснабжения, транспортных систем и правительственных операций. Последние выводы Microsoft являются суровым напоминанием: следующая крупная кибератака может уже скрываться внутри критических систем, ожидая сигнала для удара.