Ruskí hackeri Seashell Blizzard porušujú ciele kritickej infraštruktúry, varuje Microsoft

Nebezpečná hackerská skupina napojená na Rusko známa ako Seashell Blizzard zintenzívnila svoje útoky na kritickú infraštruktúru po celom svete, čo vyvolalo obavy z dlhodobej kyberšpionáže a deštruktívnych operácií. Podľa nedávneho varovania od Microsoftu táto skupina nielen infiltruje systémy s vysokou hodnotou, ale tiež sa hlboko zapúšťa, aby si udržala dlhodobú kontrolu nad napadnutými sieťami.

Seashell Blizzard je notoricky známy ruský herec

Seashell Blizzard, tiež sledovaný ako APT44, BlackEnergy Lite, Sandworm, Telebots a Voodoo Bear, je významnou kybernetickou hrozbou minimálne od roku 2009. Všeobecne sa verí, že skupina pôsobí pod ruskou vojenskou spravodajskou službou GRU (konkrétne jednotka 74455). Seashell Blizzard je známy svojimi deštruktívnymi útokmi vrátane neslávne známeho ransomvéru NotPetya, ktorý v roku 2017 ochromil globálne podniky, a malvéru KillDisk , ktorý sa v roku 2015 zameral na ukrajinské kritické systémy.

V priebehu rokov sa Seashell Blizzard zameral na sektory kritickej infraštruktúry, ako sú:

• Energia
• Zásobovanie vodou
• vládne inštitúcie
• Vojenské siete
• Telekomunikácie
• Doprava
• Výroba

Tieto útoky nie sú náhodné – úzko súvisia s ruskými vojenskými cieľmi, najmä na Ukrajine, kde bola kybernetická vojna kľúčovou súčasťou širšej ruskej konfliktnej stratégie.

Nová podskupina zameraná na trvalý prístup

Najnovšia správa spoločnosti Microsoft zdôrazňuje vznik podskupiny v rámci Seashell Blizzard, ktorá funguje pod radarom najmenej štyri roky. Táto podskupina sa venuje jednému kritickému poslaniu: získať počiatočný prístup k zraniteľným systémom a zabezpečiť dlhodobú vytrvalosť. To umožňuje hackerom udržiavať kontrolu nad napadnutými systémami celé mesiace alebo dokonca roky, pričom sú pripravení kedykoľvek spustiť rušivé útoky.

Toto úsilie, nazývané ako kampaň BadPilot , prebieha od roku 2021 a zameriava sa na infiltráciu vysokohodnotných cieľov s cieľom uľahčiť širšie sieťové kompromisy. Metódy podskupiny sú opísané ako tajné a vysoko oportunistické, spoliehajúce sa na zraniteľné miesta v široko používanom softvéri a systémoch orientovaných na internet.

Zneužívanie známych zraniteľností

Útočníci využívajú dobre známe bezpečnostné chyby v populárnych systémoch vrátane:

• ConnectWise ScreenConnect (CVE-2024-1709)
• Fortinet FortiClient EMS (CVE-2023-48788)
• Microsoft Exchange (CVE-2021-34473)
• Zimbra Collaboration Suite (CVE-2022-41352)
• Chatovací server OpenFire (CVE-2023-32315)
• TeamCity Build Server (CVE-2023-42793)
• Microsoft Outlook (CVE-2023-23397)
• Servery JBOSS (nešpecifikované CVE)

Hackeri využívajú agresívny prístup „sprej-a-pray“, prehľadávajú internet, či neobsahujú zraniteľné systémy a hromadne na ne útočia. Keď sú vo vnútri, vložia sa pomocou nástrojov, ako sú webové shelly a softvér na vzdialené monitorovanie a správu (RMM), čím sa zabezpečí dlhodobá kontrola nad napadnutými systémami.

Alarmujúce techniky používané na udržanie kontroly

Akonáhle je systém ohrozený, podskupina nasadí viaceré techniky perzistencie:

• Web Shell Deployments: Poskytovanie zadného prístupu pre diaľkové ovládanie.
• Nástroje RMM: Umožňujú diskrétny prístup a ďalšie nasadenie škodlivého softvéru.

V niekoľkých prípadoch tento trvalý prístup predchádzal deštruktívnym útokom, čo naznačuje, že hackeri majú dvojakú schopnosť – špionáž a sabotáž – v závislosti od ruských vojenských a geopolitických potrieb.

Globálna expanzia: USA a Spojené kráľovstvo sú teraz v hľadáčiku

Zatiaľ čo Ukrajina bola hlavným zameraním kybernetických operácií Seashell Blizzard, správa Microsoftu odhaľuje, že táto podskupina rozšírila svoj dosah v roku 2023 a zamerala sa na organizácie v Spojených štátoch a Spojenom kráľovstve. Rozšírenie signalizuje nebezpečný posun, čo naznačuje, že príručka ruskej kybernetickej vojny rozširuje svoj rozsah tak, aby zahŕňala aj západné krajiny.

Trvalá a stupňujúca sa hrozba

Microsoft varuje, že táto podskupina nespomaľuje. V skutočnosti je pravdepodobné, že sa bude naďalej vyvíjať a zavádzať inovatívne techniky na infiltráciu sietí po celom svete. S pokračujúcou ruskou vojnou na Ukrajine a rastúcim geopolitickým napätím by kybernetické útoky proti kritickej infraštruktúre mohli prerásť do ničivých následkov v reálnom svete.

Ochrana vašej organizácie pred morskou víchricou

Organizácie v kritických sektoroch musia prijať okamžité opatrenia na obranu proti tejto pretrvávajúcej hrozbe:

• Opravte známe slabé miesta: Zabezpečte, aby boli systémy so systémom ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire a ďalším cieleným softvérom plne aktualizované.
• Posilnite bezpečnosť siete: Nasaďte viacfaktorovú autentifikáciu (MFA), obmedzte prístup k citlivým systémom a monitorujte nezvyčajnú aktivitu.
• Monitorovanie perzistencie: Vykonávajte pravidelné bezpečnostné audity s cieľom odhaliť neoprávnené webové shelly, nástroje RMM alebo úpravy prihlasovacích stránok a konfigurácií DNS.
• Pripravenosť na reakciu na incidenty: Pripravte sa na potenciálne rušivé útoky vypracovaním komplexného plánu reakcie a zabezpečením, že zálohy sú bezpečné a pravidelne testované.

Záverečné varovanie

Seashell Blizzard a jej počiatočná prístupová podskupina predstavujú jasné a aktuálne nebezpečenstvo pre kritickú infraštruktúru na celom svete. Ich vytrvalá snaha o trvalý prístup by mohla slúžiť ako predchodca rozsiahlej kybernetickej sabotáže, ktorá je schopná narušiť energetické siete, dodávky vody, dopravné systémy a vládne operácie. Najnovšie zistenia Microsoftu sú ostrou pripomienkou: Ďalší veľký kybernetický útok sa už môže skrývať v kritických systémoch a čakať na signál.