Το ρωσικό APT «Winter Vivern» στοχεύει ευρωπαϊκές κυβερνήσεις, στρατιωτικούς

Το ρωσικό APT «Winter Vivern» στοχεύει ευρωπαϊκές κυβερνήσεις, στρατιωτικούς

Χρονική σήμανση: 17 Φεβρουαρίου 2024 3:00 π.μ.
Το ρωσικό APT «Winter Vivern» στοχεύει ευρωπαϊκές κυβερνήσεις, στρατιωτική πληροφορία δεδομένων PlatoBlockchain. Κάθετη αναζήτηση. Ολα συμπεριλαμβάνονται.

Η ευθυγραμμισμένη με τη Ρωσία ομάδα απειλών γνωστή ως Winter Vivern ανακαλύφθηκε ότι εκμεταλλεύεται τα τρωτά σημεία του cross-site scripting (XSS) σε διακομιστές webmail Roundcube σε όλη την Ευρώπη τον Οκτώβριο — και τώρα τα θύματά του έρχονται στο φως.

Η ομάδα στόχευε κυρίως κυβερνητικές, στρατιωτικές και εθνικές υποδομές στη Γεωργία, την Πολωνία και την Ουκρανία, σύμφωνα με την έκθεση του Recorded Future's Insikt Group σχετικά με την εκστρατεία που κυκλοφόρησε σήμερα.

Η έκθεση τόνισε επίσης πρόσθετους στόχους, όπως η Πρεσβεία του Ιράν στη Μόσχα, η Πρεσβεία του Ιράν στην Ολλανδία και η Πρεσβεία της Γεωργίας στη Σουηδία.

Χρησιμοποιώντας εξελιγμένες τεχνικές κοινωνικής μηχανικής, το APT (το οποίο το Insikt ονομάζει TAG-70 και το οποίο είναι επίσης γνωστό ως TA473 και UAC-0114) χρησιμοποίησε ένα Roundcube zero-day exploit να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε στοχευμένους διακομιστές αλληλογραφίας σε τουλάχιστον 80 ξεχωριστούς οργανισμούς, που κυμαίνονται από τους τομείς των μεταφορών και της εκπαίδευσης έως τους οργανισμούς χημικής και βιολογικής έρευνας.

Η εκστρατεία πιστεύεται ότι αναπτύχθηκε για τη συλλογή πληροφοριών σχετικά με ευρωπαϊκές πολιτικές και στρατιωτικές υποθέσεις, ενδεχομένως για να αποκτήσει στρατηγικά πλεονεκτήματα ή να υπονομεύσει την ευρωπαϊκή ασφάλεια και συμμαχίες, σύμφωνα με το Insikt.

Η ομάδα είναι ύποπτη για διεξαγωγή εκστρατειών κυβερνοκατασκοπείας που εξυπηρετούν τα συμφέροντα της Λευκορωσίας και της Ρωσίας και δραστηριοποιείται τουλάχιστον από τον Δεκέμβριο του 2020.

Γεωπολιτικά κίνητρα για την κυβερνοκατασκοπεία του Winter Vivern

Η εκστρατεία του Οκτωβρίου συνδέθηκε με την προηγούμενη δραστηριότητα του TAG-70 εναντίον κυβερνητικών διακομιστών αλληλογραφίας του Ουζμπεκιστάν, που αναφέρθηκε από την Insikt Group τον Φεβρουάριο του 2023.

Ένα προφανές κίνητρο για την ουκρανική στόχευση είναι η σύγκρουση με τη Ρωσία.

«Στο πλαίσιο του εν εξελίξει πολέμου στην Ουκρανία, οι διακομιστές ηλεκτρονικού ταχυδρομείου που έχουν παραβιαστεί ενδέχεται να εκθέσουν ευαίσθητες πληροφορίες σχετικά με την πολεμική προσπάθεια και τον σχεδιασμό της Ουκρανίας, τις σχέσεις της και τις διαπραγματεύσεις με τις χώρες εταίρους της, καθώς αναζητά πρόσθετη στρατιωτική και οικονομική βοήθεια, [η οποία] εκθέτει τρίτα μέρη που συνεργάζονται με την ουκρανική κυβέρνηση ιδιωτικά και να αποκαλύψει ρωγμές εντός του συνασπισμού που υποστηρίζει την Ουκρανία», σημειώνει η έκθεση Insikt.

Εν τω μεταξύ, η εστίαση στις ιρανικές πρεσβείες στη Ρωσία και την Ολλανδία θα μπορούσε να συνδεθεί με ένα κίνητρο για την αξιολόγηση των συνεχιζόμενων διπλωματικών δεσμεύσεων και των θέσεων εξωτερικής πολιτικής του Ιράν, ιδιαίτερα λαμβάνοντας υπόψη τη συμμετοχή του Ιράν στην υποστήριξη της Ρωσίας στη σύγκρουση στην Ουκρανία.

Ομοίως, η κατασκοπεία που στοχεύει τη γεωργιανή πρεσβεία στη Σουηδία και το γεωργιανό Υπουργείο Άμυνας προέρχεται πιθανώς από συγκρίσιμους στόχους της εξωτερικής πολιτικής, ειδικά καθώς η Γεωργία έχει αναζωογονήσει την επιδίωξή της για ένταξη στην Ευρωπαϊκή Ένωση και ένταξη στο ΝΑΤΟ μετά την εισβολή της Ρωσίας στην Ουκρανία στις αρχές. 2022.

Άλλοι αξιοσημείωτοι στόχοι περιελάμβαναν οργανώσεις που εμπλέκονται στη βιομηχανία logistics και μεταφορών, κάτι που είναι χαρακτηριστικό με βάση το πλαίσιο του πολέμου στην Ουκρανία, καθώς τα ισχυρά δίκτυα logistics έχουν αποδειχθεί ζωτικής σημασίας και για τις δύο πλευρές στη διατήρηση της ικανότητάς τους να πολεμούν.

Η άμυνα κατά της κυβερνοκατασκοπείας είναι δύσκολη

Οι εκστρατείες κυβερνοκατασκοπείας έχουν αυξηθεί: Νωρίτερα αυτό το μήνα, ένα εξελιγμένο ρωσικό APT ξεκίνησε μια στοχευμένη εκστρατεία επίθεσης PowerShell κατά του ουκρανικού στρατού, ενώ μια άλλη ρωσική APT, η Turla, στόχευσε πολωνικές ΜΚΟ χρησιμοποιώντας ένα νέο κακόβουλο λογισμικό backdoor.

Η Ουκρανία έχει επίσης εξαπέλυσε τις δικές της κυβερνοεπιθέσεις κατά της Ρωσίας, στοχεύοντας τους διακομιστές του παρόχου υπηρεσιών Διαδικτύου της Μόσχας M9 Telecom τον Ιανουάριο, ως αντίποινα για την υποστηριζόμενη από τη Ρωσία παραβίαση της εταιρείας κινητής τηλεφωνίας Kyivstar.

Ωστόσο, η έκθεση του Insikt Group σημείωσε ότι η άμυνα από επιθέσεις όπως αυτές μπορεί να είναι δύσκολη, ειδικά στην περίπτωση της μηδενικής εκμετάλλευσης ευπάθειας.

Ωστόσο, οι οργανισμοί μπορούν να μετριάσουν τον αντίκτυπο του συμβιβασμού κρυπτογραφώντας τα email και εξετάζοντας εναλλακτικές μορφές ασφαλών επικοινωνιών για τη μετάδοση ιδιαίτερα ευαίσθητων πληροφοριών.

Είναι επίσης σημαντικό να διασφαλιστεί ότι όλοι οι διακομιστές και το λογισμικό έχουν επιδιορθωθεί και διατηρούνται ενημερωμένα και ότι οι χρήστες θα πρέπει να ανοίγουν μηνύματα ηλεκτρονικού ταχυδρομείου μόνο από αξιόπιστες επαφές.

Οι οργανισμοί θα πρέπει επίσης να περιορίσουν τον όγκο των ευαίσθητων πληροφοριών που αποθηκεύονται σε διακομιστές αλληλογραφίας εφαρμόζοντας καλή υγιεινή και μειώνοντας τη διατήρηση δεδομένων και να περιορίζουν τις ευαίσθητες πληροφορίες και τις συνομιλίες σε πιο ασφαλή συστήματα υψηλής ποιότητας όποτε είναι δυνατόν.

Η έκθεση σημείωσε επίσης ότι η υπεύθυνη αποκάλυψη τρωτών σημείων, ιδιαίτερα εκείνων που εκμεταλλεύονται φορείς της APT όπως το TAG-70, είναι ζωτικής σημασίας για διάφορους λόγους.

Ένας αναλυτής πληροφοριών απειλών στο Recorded Future's Insikt Group εξήγησε μέσω email ότι αυτή η προσέγγιση διασφαλίζει ότι τα τρωτά σημεία διορθώνονται και διορθώνονται γρήγορα πριν τα ανακαλύψουν και τα καταχραστούν άλλοι, και επιτρέπει τον περιορισμό των εκμεταλλεύσεων από εξελιγμένους επιτιθέμενους, αποτρέποντας ευρύτερη και ταχύτερη βλάβη.

«Τελικά, αυτή η προσέγγιση αντιμετωπίζει τους άμεσους κινδύνους και ενθαρρύνει μακροπρόθεσμες βελτιώσεις στις παγκόσμιες πρακτικές ασφάλειας στον κυβερνοχώρο», εξήγησε ο αναλυτής.

Σφραγίδα ώρας:

Περισσότερα από Σκοτεινή ανάγνωση