微軟警告稱,俄羅斯 Seashell Blizzard 駭客入侵關鍵基礎設施目標
一個與俄羅斯有關的危險駭客組織,名為“Seashell Blizzard”,加強了對全球關鍵基礎設施的攻擊,引發了人們對長期網路間諜活動和破壞性行動的擔憂。根據微軟最近的警告,該組織不僅滲透到高價值系統中,而且還深度嵌入以保持對受感染網路的長期控制。
目錄
Seashell Blizzard 是臭名昭著的俄羅斯威脅行為者
Seashell Blizzard,也被稱為 APT44、BlackEnergy Lite、Sandworm、Telebots 和 Voodoo Bear,自 2009 年以來一直是重大的網路威脅。 Seashell Blizzard 因其破壞性攻擊而臭名昭著,包括 2017 年導致全球企業陷入癱瘓的臭名昭著的 NotPetya 勒索軟體和 2015 年針對烏克蘭關鍵系統的KillDisk 惡意軟體。
多年來,Seashell Blizzard 一直以以下關鍵基礎架構領域為目標:
- 活力
- 供水
- 政府機構
- 軍事網絡
- 電信
- 運輸
- 製造業
這些攻擊並非隨機的——它們與俄羅斯的軍事目標密切相關,特別是在烏克蘭,網路戰一直是俄羅斯更廣泛衝突戰略的關鍵組成部分。
專注於持久訪問的新小組
微軟的最新報告強調了 Seashell Blizzard 內部出現了一個子組織,該組織至少在暗中活動了四年。這個小組致力於一項關鍵任務:獲取對易受攻擊系統的初步存取權並建立長期持久性。這使得駭客能夠數月甚至數年地控制受感染的系統,隨時準備發動破壞性攻擊。
這項被稱為BadPilot 活動的行動自 2021 年以來一直在進行,重點是滲透高價值目標以促進更廣泛的網路入侵。該小組的方法被描述為隱密且極具機會主義的,依賴於廣泛使用的軟體和麵向互聯網的系統中存在的漏洞。
利用已知漏洞
攻擊者正在利用流行系統中眾所周知的安全漏洞,其中包括:
- ConnectWise ScreenConnect(CVE-2024-1709)
- Fortinet FortiClient EMS(CVE-2023-48788)
- Microsoft Exchange(CVE-2021-34473)
- Zimbra 協作套件 (CVE-2022-41352)
- OpenFire 聊天伺服器 (CVE-2023-32315)
- TeamCity 建置伺服器 (CVE-2023-42793)
- Microsoft Outlook(CVE-2023-23397)
- JBOSS 伺服器(未指定 CVE)
駭客採用激進的「廣撒網」策略,掃描網路以尋找易受攻擊的系統並大規模攻擊。一旦進入系統,他們就會使用 Web shell 和遠端監控和管理 (RMM) 軟體等工具嵌入自身,確保對受感染系統的長期控制。
用於維持控制的警報技術
一旦系統受到攻擊,該小組就會部署多種持久性技術:
- Web Shell 部署:為遠端控制提供後門存取。
- RMM 工具:允許謹慎存取和進一步部署惡意軟體。
在一些案例中,這種持續的訪問發生在破壞性攻擊之前,顯示駭客根據俄羅斯的軍事和地緣政治需要,擁有雙重目的能力——間諜活動和破壞活動。
全球擴張:美國和英國成為焦點
雖然烏克蘭一直是 Seashell Blizzard 網路行動的主要目標,但微軟的報告顯示,該子組織在 2023 年擴大了攻擊範圍,目標是美國和英國的組織。此次擴張標誌著一個危險的轉變,顯示俄羅斯的網路戰爭策略正在擴大範圍,將西方國家也納入其中。
持續且不斷升級的威脅
微軟警告稱,這個子群體的發展速度並未放緩。事實上,它可能會繼續發展並部署創新技術來滲透全球網路。隨著俄羅斯在烏克蘭的戰爭持續進行以及地緣政治緊張局勢加劇,針對關鍵基礎設施的網路攻擊可能會升級為毀滅性的現實世界後果。
保護您的組織免受貝殼暴風雪的侵襲
關鍵領域的組織必須立即採取行動,防禦這項持續威脅:
- 修補已知漏洞:確保執行 ScreenConnect、Fortinet、Exchange、Zimbra、OpenFire 和其他目標軟體的系統已完全更新。
- 加強網路安全:部署多因素身份驗證 (MFA)、限制對敏感系統的存取並監控異常活動。
- 監控持久性:進行定期安全性審核,以偵測未經授權的 Web shell、RMM 工具或登入頁面和 DNS 配置的修改。
- 事件回應準備:制定全面的回應計畫並確保備份安全且定期測試,為潛在的破壞性攻擊做好準備。
最後警告
Seashell Blizzard 及其初始存取子群組對全球關鍵基礎設施構成了明顯且現實的危險。他們對持續存取權的不懈追求可能成為大規模網路破壞的前兆,從而擾亂電網、供水、交通系統和政府運作。微軟的最新發現是一個嚴峻的提醒:下一次重大網路攻擊可能已經潛伏在關鍵系統內部,等待發動攻擊的訊號。