Russisk APT 'Winter Vivern' retter sig mod europæiske regeringer, militær

Den russisk-tilpassede trusselsgruppe kendt som Vinter Vivern blev opdaget ved at udnytte cross-site scripting (XSS) sårbarheder i Roundcube webmail-servere i hele Europa i oktober - og nu kommer ofrene frem i lyset.

Gruppen målrettede hovedsageligt regering, militær og national infrastruktur i Georgien, Polen og Ukraine, ifølge Recorded Futures Insikt Group-rapport om kampagnen, der blev offentliggjort i dag.

Rapporten fremhævede også yderligere mål, herunder Irans ambassade i Moskva, Irans ambassade i Holland og Georgiens ambassade i Sverige.

Ved at bruge sofistikerede social engineering-teknikker brugte APT (som Insikt kalder TAG-70, og som også er kendt som TA473 og UAC-0114) en Roundcube zero-day udnyttelse at få uautoriseret adgang til målrettede mailservere på tværs af mindst 80 separate organisationer, lige fra transport- og uddannelsessektoren til kemiske og biologiske forskningsorganisationer.

Kampagnen menes at være blevet indsat for at indsamle efterretninger om europæiske politiske og militære anliggender, potentielt for at opnå strategiske fordele eller underminere europæisk sikkerhed og alliancer, ifølge Insikt.

Gruppen er mistænkt for at føre cyberspionagekampagner, der tjener Belarus og Ruslands interesser, og har været aktiv siden mindst december 2020.

Winter Viverns geopolitiske motiver for cyberspionage

Oktoberkampagnen var knyttet til TAG-70's tidligere aktivitet mod Usbekistan regerings mailservere, rapporteret af Insikt Group i februar 2023.

En åbenlys motivation for det ukrainske mål er konflikten med Rusland.

"I forbindelse med den igangværende krig i Ukraine kan kompromitterede e-mail-servere afsløre følsomme oplysninger om Ukraines krigsindsats og planlægning, dets relationer og forhandlinger med dets partnerlande, når det søger yderligere militær og økonomisk bistand, [hvilket] afslører tredjeparter, der samarbejder med den ukrainske regering privat, og afsløre sprækker inden for koalitionen, der støtter Ukraine,” bemærkede Insikt-rapporten.

I mellemtiden kan fokus på iranske ambassader i Rusland og Holland være knyttet til et motiv til at evaluere Irans igangværende diplomatiske engagementer og udenrigspolitiske holdninger, især i betragtning af Irans involvering i at støtte Rusland i konflikten i Ukraine.

Tilsvarende stammer spionagen rettet mod den georgiske ambassade i Sverige og det georgiske forsvarsministerium sandsynligvis fra sammenlignelige udenrigspolitiske mål, især da Georgien har genoplivet sin stræben efter EU-medlemskab og NATO-optagelse i kølvandet på Ruslands indtog i Ukraine tidligt. 2022.

Andre bemærkelsesværdige mål omfattede organisationer involveret i logistik- og transportindustrien, hvilket er sigende baseret på konteksten af ​​krigen i Ukraine, da robuste logistiknetværk har vist sig at være afgørende for begge sider for at bevare deres evne til at kæmpe.

Cyberspionageforsvar er svært

Cyberspionagekampagner er steget op: Tidligere på måneden, en sofistikeret russisk APT lanceret en målrettet PowerShell-angrebskampagne mod det ukrainske militær, mens en anden russisk APT, Turla, målrettede polske ngo'er ved hjælp af en ny bagdør malware.

Ukraine har også lancerede sine egne cyberangreb mod Rusland, rettet mod serverne fra Moskvas internetudbyder M9 Telecom i januar, som gengældelse for det Rusland-støttede brud på Kyivstar-mobiltelefonoperatøren.

Men Insikt Group-rapporten bemærkede, at forsvar mod angreb som disse kan være svært, især i tilfælde af nul-dages sårbarhedsudnyttelse.

Organisationer kan dog afbøde virkningen af ​​kompromis ved at kryptere e-mails og overveje alternative former for sikker kommunikation til transmission af særligt følsomme oplysninger.

Det er også afgørende at sikre, at alle servere og software er lappet og holdes opdateret, og brugere bør kun åbne e-mails fra betroede kontakter.

Organisationer bør også begrænse mængden af ​​følsomme oplysninger, der lagres på mailservere, ved at praktisere god hygiejne og reducere dataopbevaring og begrænse følsomme oplysninger og samtaler til mere sikre high-side-systemer, når det er muligt.

Rapporten bemærkede også, at ansvarlig offentliggørelse af sårbarheder, især dem, der udnyttes af APT-aktører som TAG-70, er afgørende af flere årsager.

En trusselsintelligensanalytiker hos Recorded Futures Insikt Group forklarede via e-mail, at denne tilgang sikrer, at sårbarheder lappes og rettes hurtigt, før andre opdager og misbruger dem, og muliggør indeslutning af udnyttelser fra sofistikerede angribere, hvilket forhindrer bredere og hurtigere skade.

"I sidste ende adresserer denne tilgang de umiddelbare risici og tilskynder til langsigtede forbedringer i global cybersikkerhedspraksis," forklarede analytikeren.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military