Venäjän APT "Winter Vivern" on suunnattu Euroopan hallituksille ja armeijalle

Venäjä-liiton uhkaryhmä tunnetaan nimellä Talvi Vivern havaittiin lokakuussa hyödyntävän XSS-haavoittuvuuksia Roundcube-verkkosähköpostipalvelimissa eri puolilla Eurooppaa – ja nyt sen uhrit paljastuvat.

Ryhmä kohdistui pääasiassa hallituksen, armeijan ja kansalliseen infrastruktuuriin Georgiassa, Puolassa ja Ukrainassa, Recorded Future's Insikt Groupin kampanjaa koskevan tänään julkaistun raportin mukaan.

Raportissa korostettiin myös muita kohteita, kuten Iranin suurlähetystö Moskovassa, Iranin suurlähetystö Hollannissa ja Georgian suurlähetystö Ruotsissa.

APT (jota Insikt kutsuu TAG-70:ksi ja joka tunnetaan myös nimellä TA473 ja UAC-0114) hyödyntää kehittyneitä sosiaalisen suunnittelun tekniikoita. Roundcube nollapäivän hyväksikäyttö saada luvaton pääsy kohdistetuille sähköpostipalvelimille vähintään 80 erillisessä organisaatiossa kuljetus- ja koulutussektorista kemian ja biologian tutkimusorganisaatioihin.

Insiktin mukaan kampanjan uskotaan olleen käyttöön tiedustelutietojen keräämiseksi Euroopan poliittisista ja sotilaallisista asioista, mahdollisesti strategisten etujen saavuttamiseksi tai Euroopan turvallisuuden ja liittoutumien heikentämiseksi.

Ryhmän epäillään toteuttaneen Valko-Venäjän ja Venäjän etuja palvelevia kybervakoilukampanjoita, ja se on ollut aktiivinen ainakin joulukuusta 2020 lähtien.

Winter Vivernin geopoliittiset motivaatiot kybervakoilulle

Lokakuun kampanja liittyi TAG-70:n aiempaan toimintaan Uzbekistanin hallituksen postipalvelimia vastaan, ja Insikt Group raportoi helmikuussa 2023.

Ilmeinen motivaatio Ukrainan kohdistamiselle on konflikti Venäjän kanssa.

"Ukrainassa meneillään olevan sodan yhteydessä vaarantuneet sähköpostipalvelimet voivat paljastaa arkaluontoisia tietoja Ukrainan sotaponnisteluista ja -suunnittelusta, sen suhteista ja neuvotteluista kumppanimaidensa kanssa, kun se hakee sotilaallista ja taloudellista lisäapua, [mikä] paljastaa kolmansien osapuolien yhteistyön. Ukrainan hallituksen kanssa yksityisesti ja paljastaa halkeamia Ukrainaa tukevassa koalitiossa”, Insiktin raportissa todettiin.

Samaan aikaan keskittyminen Iranin suurlähetystöihin Venäjällä ja Alankomaissa saattaa liittyä motiiviin arvioida Iranin diplomaattisia toimia ja ulkopoliittisia kantoja, erityisesti kun otetaan huomioon Iranin osallistuminen Venäjän tukemiseen Ukrainan konfliktissa.

Samoin Georgian Ruotsin-suurlähetystöön ja Georgian puolustusministeriöön kohdistuva vakoilu johtuu todennäköisesti vertailukelpoisista ulkopoliittisista tavoitteista, varsinkin kun Georgia on elvyttänyt pyrkimyksiään Euroopan unionin jäsenyyteen ja Nato-jäsenyyteen sen jälkeen, kun Venäjä hyökkäsi Ukrainaan varhain. 2022.

Muita huomionarvoisia kohteita olivat logistiikka- ja kuljetusalan organisaatiot, mikä on Ukrainan sodan kontekstin perusteella sanonta, sillä vahvat logistiikkaverkostot ovat osoittautuneet molemmille osapuolille ratkaisevan tärkeäksi taistelukyvyn ylläpitämisessä.

Kybervakoilun puolustus on vaikeaa

Kybervakoilukampanjat ovat lisääntyneet: Aiemmin tässä kuussa kehittynyt venäläinen APT käynnistettiin kohdistettu PowerShell-hyökkäyskampanja Ukrainan armeijaa vastaan, kun taas toinen venäläinen APT, Turla, hyökkäsi puolalaisiin kansalaisjärjestöihin käyttämällä uusi takaoven haittaohjelma.

Myös Ukrainalla on aloitti omat kyberhyökkäyksensä Venäjää vastaan, joka kohdistui Moskovan Internet-palveluntarjoajan M9 Telecomin palvelimiin tammikuussa kostoksi Venäjän tukemasta Kyivstar-matkapuhelinoperaattorin rikkomisesta.

Mutta Insikt Groupin raportissa todettiin, että tällaisia ​​hyökkäyksiä vastaan ​​puolustaminen voi olla vaikeaa, etenkin nollapäivän haavoittuvuuden hyväksikäytön tapauksessa.

Organisaatiot voivat kuitenkin lieventää kompromissin vaikutuksia salaamalla sähköpostit ja harkitsemalla vaihtoehtoisia suojattuja viestintätapoja erityisen arkaluonteisten tietojen välittämiseksi.

On myös tärkeää varmistaa, että kaikki palvelimet ja ohjelmistot ovat korjattuja ja ajan tasalla, ja käyttäjien tulee avata vain luotettujen yhteyshenkilöiden sähköpostit.

Organisaatioiden tulisi myös rajoittaa sähköpostipalvelimille tallennetun arkaluonteisen tiedon määrää noudattamalla hyvää hygieniaa ja vähentämällä tietojen säilyttämistä sekä rajoittaa arkaluonteiset tiedot ja keskustelut turvallisempiin yläpuolen järjestelmiin aina kun mahdollista.

Raportissa todettiin myös, että haavoittuvuuksien vastuullinen paljastaminen, erityisesti APT-toimijoiden, kuten TAG-70, käyttämien haavoittuvuuksien paljastaminen on ratkaisevan tärkeää useista syistä.

Recorded Future's Insikt Groupin uhkatiedon analyytikko selitti sähköpostilla, että tämä lähestymistapa varmistaa, että haavoittuvuudet korjataan ja korjataan nopeasti, ennen kuin muut löytävät ja käyttävät niitä väärin, ja mahdollistaa kehittyneiden hyökkääjien torjuntaan, mikä estää laajemman ja nopeamman vahingon.

"Tämä lähestymistapa puuttuu viime kädessä välittömiin riskeihin ja rohkaisee pitkän aikavälin parannuksia globaaleihin kyberturvallisuuskäytäntöihin", analyytikko selitti.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military