Venemaa SolarWindsi süüdlased käivitasid uue spionaažiküberrünnakute tulv

Osana käimasolevast sissetungist Ukrainasse on Venemaa luure taas värbanud häkkerirühmituse Nobelium/APT29 teenuseid, et seekord luurata NATO liikmesriikide välisministeeriumide ja diplomaatide, aga ka muude sihtmärkide järele Euroopa Liidus ja Aafrikas. .

Ajastus haakub ka Kanada infrastruktuuri vastu suunatud rünnakute arvuga, mis arvatakse olevat samuti seotud Venemaaga.

Poola sõjaväe vastuluureteenistus ja CERT-i meeskond Poolas väljastasid 13. aprillil hoiatuse koos kompromissi tunnustega, hoiatades spionaažikampaania potentsiaalseid sihtmärke ohu eest. Nobelium, nagu grupi on määranud Microsoft, samuti nimetatud Mandiant APT29, pole rahvusriigi spionaažimängus uus, rühmitus oli kurikuulsa SolarWindsi tarneahela rünnak ligi kolm aastat tagasi.

Nüüd on APT29 tagasi koos täiesti uue pahavara tööriistade komplektiga ja teatanud marssikäskudest tungida Ukrainat toetavate riikide diplomaatilisse korpusesse, selgitasid Poola sõjavägi ja CERT-i hoiatus.

APT29 on uute tellimustega tagasi

Poola hoiatuse kohaselt alustab täiustatud püsiv oht (APT) igal juhul oma rünnakut hästi läbimõeldud andmepüügimeiliga.

"Valitud diplomaatiliste postide töötajatele saadeti e-kirju, mis esinevad Euroopa riikide saatkondadena," selgitasid võimud. "Kirjavahetus sisaldas kutset koosolekule või dokumentide koostamiseks."

Seejärel suunab sõnum adressaadi lingile klõpsama või PDF-faili alla laadima, et pääseda juurde suursaadiku kalendrile või hankida koosoleku üksikasju – mõlemad saadavad sihtmärgid pahatahtlikule saidile, mis on laaditud ohurühma allkirjaskriptiga, mida aruanne tuvastab kui "Envyscout."

"t kasutab HTML-i salakaubaveo tehnikat, mille puhul lehele pandud pahatahtlik fail dekodeeritakse lehe avamisel JavaScripti abil ja seejärel ohvri seadmesse alla laaditakse," lisasid Poola võimud. "See muudab pahatahtliku faili tuvastamise serveri poolel, kus see on salvestatud, keerulisemaks."

Pahatahtlik sait saadab sihtmärkidele ka teate, mis kinnitab, et nad laadisid alla õige faili, öeldakse hoiatuses.

"Odaandmepüügirünnakud on edukad, kui suhtlus on hästi kirjutatud, kasutab sihtmärgi tundmise näitamiseks isiklikku teavet ja näib olevat pärit seaduslikust allikast," räägib SlashNexti tegevjuht Patrick Harr kampaaniast Dark Readingile. "See spionaažikampaania vastab kõigile edu kriteeriumidele."

Üks andmepüügi meilNäiteks kehastus Poola saatkonnana ja huvitaval kombel muudeti vaadeldud kampaania jooksul Envyscouti tööriista kolm korda hägustamise täiustustega, märkisid Poola võimud.

Pärast ohtu sattumist kasutab grupp Snowyamberi allalaadija Halfrigi muudetud versioone, mis töötab Koobalti streik manustatud koodina ja Quarterrig, mis jagab koodi Halfrigiga, teatas Poola hoiatus.

"Me näeme nende rünnakute sagenemist, kus halb näitleja kasutab kampaanias mitut etappi, et kohandada ja parandada edu," lisab Harr. "Nad kasutavad automatiseerimis- ja masinõppetehnikaid, et teha kindlaks, mis avastamisest kõrvale hiilib, ja muuta edu parandamiseks järgnevaid rünnakuid."
Poola küberjulgeolekuametite sõnul peaksid valitsused, diplomaadid, rahvusvahelised organisatsioonid ja valitsusvälised organisatsioonid olema nii selle kui ka muude Venemaa spionaažimeetmete suhtes valvel.

"Sõjaväe vastuluureteenistus ja CERT.PL soovitavad tungivalt, et kõik üksused, mis võivad olla osaleja huvipiirkonnas, rakendaksid konfiguratsioonimuudatusi, et häirida kirjeldatud kampaanias kasutatud edastamismehhanismi," ütlesid ametnikud.

Venemaaga seotud rünnakud Kanada infrastruktuurile

Lisaks Poola küberjulgeolekuametnike hoiatustele tegi Kanada peaminister Justin Trudeau eelmisel nädalal avalikke avaldusi hiljutise küberjulgeolekuhoo kohta. Venemaaga seotud küberrünnakud suunatud Kanada infrastruktuurile, sealhulgas teenusetõkestamise rünnakud hüdro-Québec, elektriettevõte, Trudeau kontori veebisait, Port of Quebecja Laurentiuse pank. Trudeau ütles, et küberrünnakud on seotud Kanada toetusega Ukrainale.

"Paar teenuste keelamise rünnakut valitsuse veebisaitidele, mis need mõneks tunniks alla tõmbavad, ei pane meid ümber mõtlema meie ühemõttelist seisukohta teha kõike, mis vaja, nii kaua kui Ukraina toetamiseks kulub,” ütles Trudeau. , vastavalt aruannetele.

Kanada küberjulgeoleku keskuse juht Sami Khoury ütles eelmisel nädalal toimunud pressikonverentsil, et kuigi Kanada taristule kahju ei tehtud, on oht reaalne. juurdepääsu kanadalastele, tervishoiuteenuseid või üldiselt teenuseid, milleta kanadalased hakkama ei saa, peate oma süsteeme kaitsma, ”ütles Khoury. "Jälgige oma võrke. Rakendage leevendusi."

Venemaa küberkuritegevuse jõupingutused raevuvad

Kuna Venemaa invasioon Ukrainasse kestab juba teist aastat, ütleb Mike Parkin koos Vulcan Cyberiga, et hiljutised kampaaniad ei tohiks olla üllatused.

"Küberjulgeoleku kogukond on jälginud Ukraina konflikti tagajärgi ja sellega kaasnevaid kahjusid selle algusest peale ning oleme teadnud, et Venemaa ja venemeelsed ohustajad olid aktiivsed lääne sihtmärkide vastu," Parkin ütleb. “Arvestades küberkuritegevuse taset, millega me juba tegelesime, on [need] vaid mõned uued tööriistad ja uued sihtmärgid – ja meeldetuletus veendumaks, et meie kaitsemehhanismid on ajakohased ja õigesti konfigureeritud.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
• Allikas: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks