APT הרוסי 'Winter Vivern' מכוון לממשלות אירופה, צבא

ה-APT הרוסי 'Winter Vivern' מכוון לממשלות אירופה, צבא

חותמת זמן: 17 בפברואר 2024 3:00
APT 'Winter Vivern' הרוסי מכוון לממשלות אירופה, למודיעין הצבאי PlatoBlockchain Data. חיפוש אנכי. איי.

קבוצת האיומים המיושרת לרוסיה הידועה בשם ויברן חורף התגלה מנצל פגיעויות של סקריפטים בין-אתרים (XSS) בשרתי דואר אינטרנט של Roundcube ברחבי אירופה באוקטובר - וכעת קורבנותיו מתגלים.

הקבוצה מכוונת בעיקר לתשתיות ממשלתיות, צבאיות ולאומיות בגאורגיה, פולין ואוקראינה, על פי דו"ח Insikt Group של Recorded Future על הקמפיין שפורסם היום.

הדו"ח גם הדגיש יעדים נוספים, כולל שגרירות איראן במוסקבה, שגרירות איראן בהולנד ושגרירות גאורגיה בשוודיה.

תוך שימוש בטכניקות הנדסה חברתית מתוחכמות, ה-APT (שאינסיקט מכנה TAG-70 ואשר ידוע גם כ-TA473 ו-UAC-0114) השתמש ב- ניצול יום אפס של Roundcube להשיג גישה בלתי מורשית לשרתי דואר ממוקדים על פני לפחות 80 ארגונים נפרדים, החל ממגזרי התחבורה והחינוך ועד לארגוני מחקר כימיים וביולוגיים.

על פי אינשיק, המערכה נפרסת לאיסוף מודיעין על ענייני פוליטיים וצבאיים באירופה, פוטנציאלית כדי להשיג יתרונות אסטרטגיים או לערער את הביטחון והבריתות האירופיות.

הקבוצה חשודה בניהול קמפיינים של ריגול סייבר המשרתים את האינטרסים של בלארוס ורוסיה, והיא פעילה לפחות מאז דצמבר 2020.

המניעים הגיאופוליטיים של Winter Vivern לריגול סייבר

מסע הפרסום של אוקטובר נקשר לפעילות הקודמת של TAG-70 נגד שרתי דואר ממשלת אוזבקיסטן, שדווחה על ידי Insikt Group בפברואר 2023.

מוטיבציה ברורה למטרה האוקראינית היא הסכסוך עם רוסיה.

"בהקשר של המלחמה המתמשכת באוקראינה, שרתי דוא"ל שנפגעו עלולים לחשוף מידע רגיש בנוגע למאמץ המלחמתי והתכנון של אוקראינה, מערכות היחסים שלה והמשא ומתן עם המדינות השותפות שלה, כאשר היא מחפשת סיוע צבאי וכלכלי נוסף, [אשר] חושפת צדדים שלישיים בשיתוף פעולה עם ממשלת אוקראינה באופן פרטי, ולחשוף סדקים בתוך הקואליציה התומכת באוקראינה", צוין בדו"ח אינשיק.

בינתיים, ההתמקדות בשגרירויות איראן ברוסיה ובהולנד עשויה להיות קשורה למניע להעריך את ההתקשרויות הדיפלומטיות המתמשכות של איראן ואת עמדותיה של מדיניות החוץ, במיוחד בהתחשב במעורבותה של איראן בתמיכה ברוסיה בסכסוך באוקראינה.

באופן דומה, הריגול המכוון לשגרירות גאורגיה בשבדיה ולמשרד ההגנה של גאורגיה נובע כנראה מיעדים דומים מונעי מדיניות חוץ, במיוחד מכיוון שגיאורגיה חידשה את המרדף שלה לחברות באיחוד האירופי ולהצטרפות לנאט"ו בעקבות פלישת רוסיה לאוקראינה בתחילת הדרך. 2022.

יעדים בולטים אחרים כללו ארגונים המעורבים בתעשיות הלוגיסטיקה והתחבורה, מה שמסביר על סמך ההקשר של המלחמה באוקראינה, שכן רשתות לוגיסטיות חזקות הוכיחו את עצמן כחיוניות עבור שני הצדדים בשמירה על יכולתם להילחם.

הגנת ריגול סייבר היא קשה

קמפיינים של ריגול סייבר התגברו: מוקדם יותר החודש, APT רוסי מתוחכם הושק מסע תקיפה ממוקד של PowerShell נגד הצבא האוקראיני, בעוד APT רוסי אחר, Turla, כוון לארגונים לא ממשלתיים פולניים באמצעות תוכנה זדונית חדשה בדלת אחורית.

גם באוקראינה יש פתחה במתקפות סייבר משלה נגד רוסיה, מכוונת לשרתים של ספקית שירותי האינטרנט של מוסקבה M9 Telecom בינואר, כנקמה על ההפרה הנתמכת על ידי רוסיה של מפעילת הטלפון הנייד Kyivstar.

אבל הדו"ח של Insikt Group ציין כי הגנה מפני התקפות כמו אלה יכולה להיות קשה, במיוחד במקרה של ניצול פגיעות ביום אפס.

עם זאת, ארגונים יכולים להפחית את ההשפעה של פשרה על ידי הצפנת מיילים ובחינת צורות חלופיות של תקשורת מאובטחת להעברת מידע רגיש במיוחד.

זה גם חיוני להבטיח שכל השרתים והתוכנות יתוקנו ומעודכנים, ומשתמשים צריכים לפתוח רק הודעות דוא"ל מאנשי קשר מהימנים.

ארגונים צריכים גם להגביל את כמות המידע הרגיש המאוחסן בשרתי הדואר על ידי תרגול היגיינה טובה והפחתת שמירת הנתונים ולהגביל מידע ושיחות רגישים למערכות צד גבוהות מאובטחות יותר במידת האפשר.

הדו"ח גם ציין כי חשיפה אחראית של פגיעויות, במיוחד אלו שנוצלו על ידי שחקני APT כמו TAG-70, היא חיונית מכמה סיבות.

מנתח מודיעין איומים בקבוצת Insikt של Recorded Future הסביר באמצעות דוא"ל גישה זו מבטיחה תיקון ותיקון של פגיעויות במהירות לפני שאחרים יגלו ומשתמשים בהן לרעה, ומאפשרת בלימה של ניצול של תוקפים מתוחכמים, ומונעת פגיעה רחבה ומהירה יותר.

"בסופו של דבר, גישה זו מטפלת בסיכונים המיידיים ומעודדת שיפורים ארוכי טווח בשיטות אבטחת סייבר גלובליות", הסביר האנליסט.

בול זמן:

עוד מ קריאה אפלה