Venemaa APT "Winter Vivern" on suunatud Euroopa valitsustele ja sõjaväele

Venemaaga ühinenud ohurühmitus, tuntud kui Talvine Vivern avastati oktoobris kogu Euroopas Roundcube'i veebimeiliserverites olevate saitidevahelise skriptimise (XSS) haavatavuste ärakasutamises – ja nüüd on selle ohvrid ilmsiks tulnud.

Täna avaldatud Recorded Future'i Insikt Groupi kampaania aruande kohaselt oli rühmitus suunatud peamiselt Gruusia, Poola ja Ukraina valitsusele, sõjaväele ja riiklikule infrastruktuurile.

Aruandes tõsteti esile ka täiendavaid sihtmärke, sealhulgas Iraani saatkond Moskvas, Iraani saatkond Hollandis ja Gruusia saatkond Rootsis.

Kasutades keerukaid sotsiaalse insenertehnikaid, kasutas APT (mida Insikt nimetab TAG-70-ks ja mida tuntakse ka kui TA473 ja UAC-0114) Roundcube null-päeva ärakasutamine et saada volitamata juurdepääs sihitud meiliserveritele vähemalt 80 eraldi organisatsioonis, alates transpordi- ja haridussektorist kuni keemia- ja bioloogiauuringute organisatsioonideni.

Insikti sõnul kasutati kampaaniat luureandmete kogumiseks Euroopa poliitiliste ja sõjaliste küsimuste kohta, et saada strateegilisi eeliseid või õõnestada Euroopa julgeolekut ja liite.

Rühmitust kahtlustatakse Valgevene ja Venemaa huve teenivate küberspionaažikampaaniate läbiviimises ning see on tegutsenud vähemalt 2020. aasta detsembrist.

Winter Viverni küberspionaaži geopoliitilised motiivid

Oktoobri kampaania oli seotud TAG-70 varasema tegevusega Usbekistani valitsuse meiliserverite vastu, millest Insikt Group teatas 2023. aasta veebruaris.

Ukraina sihtimise ilmselgeks motiiviks on konflikt Venemaaga.

"Ukrainas käimasoleva sõja kontekstis võivad ohustatud meiliserverid paljastada tundlikku teavet Ukraina sõjategevuse ja -plaanide, suhete ja partnerriikidega peetavate läbirääkimiste kohta, kui Ukraina otsib täiendavat sõjalist ja majanduslikku abi, [mis] paljastab kolmandate isikute koostööd. Ukraina valitsusega eraviisiliselt ja paljastada lõhed Ukrainat toetavas koalitsioonis," märgitakse Insikti raportis.

Samal ajal võib keskendumine Iraani saatkondadele Venemaal ja Hollandis olla seotud motiiviga hinnata Iraani jätkuvat diplomaatilist tegevust ja välispoliitilisi seisukohti, eriti arvestades Iraani osalust Venemaa toetamisel Ukraina konfliktis.

Sarnaselt tuleneb Gruusia Rootsi saatkonna ja Gruusia kaitseministeeriumi sihikule suunatud spionaaž tõenäoliselt võrreldavatest välispoliitikast lähtuvatest eesmärkidest, eriti kuna Gruusia on pärast Venemaa varakult Ukrainasse tungimist taaselustanud püüdlusi saada Euroopa Liidu liikmeks ja NATOga ühinemiseks. 2022. aasta.

Märkimisväärseteks sihtmärkideks olid ka logistika- ja transporditööstusega seotud organisatsioonid, mis Ukraina sõja kontekstis on kõnekas, kuna tugevad logistikavõrgud on osutunud mõlema poole jaoks võitlusvõime säilitamisel ülioluliseks.

Küberspionaaži kaitse on keeruline

Küberspionaažikampaaniad on hoogustunud: selle kuu alguses ilmus keerukas Venemaa APT käivitatud suunatud PowerShelli rünnakukampaania Ukraina sõjaväe vastu, samas kui teine ​​Venemaa APT, Turla, võttis sihikule Poola valitsusvälised organisatsioonid, kasutades uudne tagaukse pahavara.

Ka Ukrainal on alustas oma küberrünnakuid Venemaa vastu, mis oli jaanuaris suunatud Moskva Interneti-teenuse pakkuja M9 Telecomi serveritele, kättemaksuks Venemaa toetatud Kyivstari mobiiltelefonioperaatori rikkumise eest.

Kuid Insikt Groupi aruanne märkis, et selliste rünnakute eest kaitsmine võib olla keeruline, eriti nullpäeva haavatavuse ärakasutamise korral.

Kuid organisatsioonid saavad kompromissi mõju leevendada, krüpteerides e-kirju ja kaaludes alternatiivseid turvalise suhtluse vorme eriti tundliku teabe edastamiseks.

Samuti on oluline tagada, et kõik serverid ja tarkvara oleksid paigatud ja ajakohastatud ning kasutajad peaksid avama ainult usaldusväärsetelt kontaktidelt pärit e-kirju.

Organisatsioonid peaksid piirama ka meiliserverites talletatava tundliku teabe hulka, järgides head hügieeni ja vähendades andmete säilitamist ning piirama tundlikku teavet ja vestlusi võimaluse korral turvalisemate kõrgetasemeliste süsteemidega.

Aruandes märgiti ka, et haavatavuste vastutustundlik avalikustamine, eriti need, mida kasutavad ära APT osalejad, nagu TAG-70, on mitmel põhjusel otsustava tähtsusega.

Recorded Future's Insikt Groupi ohuluure analüütik selgitas meili teel, et selline lähenemine tagab turvaaukude kiire parandamise ja parandamise, enne kui teised need avastavad ja kuritarvitavad, ning võimaldab keerukamate ründajate ärakasutamist ohjeldada, vältides laiemat ja kiiremat kahju.

"Lõppkokkuvõttes käsitleb see lähenemisviis vahetuid riske ja julgustab globaalsete küberjulgeoleku praktikate pikaajalist täiustamist," selgitas analüütik.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military