Az orosz APT „Winter Vivern” az európai kormányokat és katonai célokat veszi célba

Az Oroszországhoz kötődő fenyegetőcsoport, az úgynevezett Téli Vivern októberben fedezték fel Európa-szerte a Roundcube webmail szerverein a cross-site scripting (XSS) sebezhetőségét kihasználva – és most derülnek ki áldozatai.

A Recorded Future Insikt Group kampányról szóló jelentése szerint a csoport főként a kormányzati, katonai és nemzeti infrastruktúrát célozta meg Grúziában, Lengyelországban és Ukrajnában.

A jelentés további célpontokat is kiemelt, köztük Irán moszkvai nagykövetségét, Irán holland nagykövetségét és Grúzia svédországi nagykövetségét.

A kifinomult social engineering technikákat alkalmazva az APT (amelyet az Insikt TAG-70-nek hív, és amely TA473-nak és UAC-0114-nek is ismert) egy Roundcube zero-day exploit jogosulatlan hozzáférést szerezni a célzott levelezőszerverekhez legalább 80 különböző szervezeten belül, a közlekedési és oktatási szektortól kezdve a vegyi és biológiai kutatási szervezetekig.

Az Insikt szerint a kampányt feltehetően az európai politikai és katonai ügyekkel kapcsolatos hírszerzési információk gyűjtésére vetették be, potenciálisan stratégiai előnyök megszerzésére vagy az európai biztonság és szövetségek aláásására.

A csoportot azzal gyanúsítják, hogy Fehéroroszország és Oroszország érdekeit szolgáló kiberkémkampányokat folytat, és legalább 2020 decembere óta aktív.

Winter Vivern geopolitikai motivációi a kiberkémkedéshez

Az októberi kampány a TAG-70 korábbi, üzbegisztáni kormányzati levelezőszerverek elleni tevékenységéhez kapcsolódott, amelyről az Insikt Group 2023 februárjában számolt be.

Az ukrán célzás nyilvánvaló motivációja az Oroszországgal való konfliktus.

„A folyamatban lévő ukrajnai háborúval összefüggésben a kompromittált e-mail szerverek érzékeny információkat fedhetnek fel Ukrajna háborús erőfeszítéseivel és tervezésével, kapcsolataival és a partnerországaival folytatott tárgyalásokkal kapcsolatban, miközben további katonai és gazdasági segítséget kér, [ami] leleplezheti az együttműködő harmadik feleket. az ukrán kormánnyal privátban, és felfedje az Ukrajnát támogató koalíción belüli repedéseket” – szögezte le az Insikt jelentés.

Eközben az oroszországi és hollandiai iráni nagykövetségekre való összpontosítás egy olyan motívumhoz kapcsolódhat, amely Irán folyamatban lévő diplomáciai szerepvállalását és külpolitikai álláspontját értékeli, különös tekintettel Irán részvételére Oroszország támogatásában az ukrajnai konfliktusban.

Hasonlóképpen, a Grúz svédországi nagykövetséget és a grúz védelmi minisztériumot megcélzó kémkedés valószínűleg hasonló külpolitikai célokból fakad, különösen azért, mert Grúzia újjáélesztette az európai uniós tagság és a NATO-csatlakozás törekvését Oroszország korai ukrajnai behatolása után. 2022.

A további figyelemre méltó célpontok között szerepeltek a logisztikai és szállítási ágazatban érintett szervezetek is, ami az ukrajnai háború körülményei alapján beszédes, mivel a robusztus logisztikai hálózatok mindkét fél számára kulcsfontosságúnak bizonyultak harci képességük megőrzésében.

A kiberkémkedés elleni védekezés nehéz

A kiberkémkedési kampányok felpörögtek: a hónap elején egy kifinomult orosz APT indított egy célzott PowerShell támadási kampány az ukrán hadsereg ellen, míg egy másik orosz APT, a Turla a lengyel civil szervezeteket vette célba egy újszerű backdoor malware.

Ukrajna is saját kibertámadásokat indított Oroszország ellen, amely az M9 Telecom moszkvai internetszolgáltató szervereit célozta meg januárban, megtorlásul a Kyivstar mobiltelefon-szolgáltató Oroszország által támogatott megsértéséért.

Az Insikt Group jelentése azonban megjegyezte, hogy az ilyen támadások elleni védekezés nehéz lehet, különösen a nulladik napi sebezhetőség kihasználása esetén.

A szervezetek azonban mérsékelhetik a kompromisszumok hatását az e-mailek titkosításával és a biztonságos kommunikáció alternatív formáinak megfontolásával a különösen érzékeny információk továbbítására.

Az is alapvető fontosságú, hogy minden kiszolgálót és szoftvert javítsanak és naprakészek legyenek, és a felhasználók csak a megbízható kapcsolatoktól származó e-maileket nyissák meg.

A szervezeteknek emellett korlátozniuk kell a levelezőszervereken tárolt érzékeny információk mennyiségét a megfelelő higiénia gyakorlásával és az adatmegőrzés csökkentésével, valamint lehetőség szerint korlátozniuk kell az érzékeny információkat és beszélgetéseket a biztonságosabb felsőbb rendszerekre.

A jelentés azt is megjegyezte, hogy a sebezhetőségek felelősségteljes felfedése, különösen azoké, amelyeket az APT szereplői, például a TAG-70 kihasználtak, több okból is kulcsfontosságú.

A Recorded Future's Insikt Group fenyegetések intelligencia elemzője e-mailben elmagyarázta, hogy ez a megközelítés biztosítja a sebezhetőségek gyors javítását és kijavítását, mielőtt mások felfedeznék és visszaélnének velük, valamint lehetővé teszi a kifinomult támadók által elkövetett kihasználások visszaszorítását, megelőzve a szélesebb körű és gyorsabb károkat.

„Végső soron ez a megközelítés az azonnali kockázatokat kezeli, és a globális kiberbiztonsági gyakorlatok hosszú távú fejlesztését ösztönzi” – magyarázta az elemző.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military