De aan Rusland verbonden dreigingsgroep, bekend als Winter Vivern werd in oktober ontdekt door misbruik te maken van cross-site scripting (XSS)-kwetsbaarheden in Roundcube-webmailservers in heel Europa – en nu komen de slachtoffers ervan aan het licht.
De groep richtte zich vooral op de overheid, het leger en de nationale infrastructuur in Georgië, Polen en Oekraïne, zo blijkt uit het Insikt Group-rapport van Recorded Future over de campagne dat vandaag is vrijgegeven.
Het rapport benadrukte ook aanvullende doelen, waaronder de ambassade van Iran in Moskou, de ambassade van Iran in Nederland en de ambassade van Georgië in Zweden.
Met behulp van geavanceerde social engineering-technieken gebruikte de APT (die Insikt TAG-70 noemt en die ook bekend staat als TA473, en UAC-0114) een Roundcube zero-day-exploit om ongeoorloofde toegang te verkrijgen tot gerichte mailservers van minstens 80 afzonderlijke organisaties, variërend van de transport- en onderwijssector tot chemische en biologische onderzoeksorganisaties.
Er wordt aangenomen dat de campagne is ingezet om inlichtingen te verzamelen over Europese politieke en militaire zaken, mogelijk om strategische voordelen te behalen of de Europese veiligheid en allianties te ondermijnen, aldus Insikt.
De groep wordt verdacht van het voeren van cyberspionagecampagnes die de belangen van Wit-Rusland en Rusland dienen, en is in ieder geval sinds december 2020 actief.
Winter Vivern's geopolitieke motivaties voor cyberspionage
De campagne van oktober hield verband met de eerdere activiteiten van TAG-70 tegen mailservers van de Oezbeekse overheid, gerapporteerd door Insikt Group in februari 2023.
Een voor de hand liggende motivatie voor de Oekraïense doelwitten is het conflict met Rusland.
“In de context van de aanhoudende oorlog in Oekraïne kunnen gecompromitteerde e-mailservers gevoelige informatie vrijgeven over de oorlogsinspanningen en -planning van Oekraïne, zijn relaties en onderhandelingen met zijn partnerlanden terwijl het land zoekt naar aanvullende militaire en economische hulp, [die] derde partijen blootlegt die samenwerken met de Oekraïense regering privé, en de kloven blootleggen binnen de coalitie die Oekraïne steunt”, aldus het Insikt-rapport.
Ondertussen zou de focus op Iraanse ambassades in Rusland en Nederland in verband kunnen worden gebracht met een motief om de voortdurende diplomatieke betrokkenheid en standpunten van Iran op het gebied van het buitenlands beleid te evalueren, vooral gezien de betrokkenheid van Iran bij het steunen van Rusland in het conflict in Oekraïne.
Op dezelfde manier komt de spionage gericht tegen de Georgische ambassade in Zweden en het Georgische ministerie van Defensie waarschijnlijk voort uit vergelijkbare door het buitenlands beleid gedreven doelstellingen, vooral omdat Georgië zijn streven naar lidmaatschap van de Europese Unie en toetreding tot de NAVO nieuw leven heeft ingeblazen in de nasleep van de Russische inval in Oekraïne in het begin van de 2022e eeuw. XNUMX.
Andere opmerkelijke doelwitten waren onder meer organisaties die betrokken zijn bij de logistieke en transportsector, wat veelzeggend is op basis van de context van de oorlog in Oekraïne, aangezien robuuste logistieke netwerken voor beide partijen cruciaal zijn gebleken bij het behouden van hun vermogen om te vechten.
Bescherming tegen cyberspionage is moeilijk
Cyberspionagecampagnes zijn in opmars: eerder deze maand lanceerde een geavanceerde Russische APT gelanceerd een gerichte PowerShell-aanvalscampagne tegen het Oekraïense leger, terwijl een andere Russische APT, Turla, zich op Poolse NGO's richtte met behulp van een nieuwe backdoor-malware.
Oekraïne heeft dat ook gedaan lanceerde zijn eigen cyberaanvallen tegen Rusland, dat zich in januari richtte op de servers van de Moskouse internetprovider M9 Telecom, als vergelding voor de door Rusland gesteunde inbreuk op de mobiele telefoonoperator Kievstar.
Maar in het rapport van de Insikt Group wordt opgemerkt dat verdediging tegen dergelijke aanvallen moeilijk kan zijn, vooral in het geval van zero-day-exploitatie van kwetsbaarheden.
Organisaties kunnen de impact van een compromis echter verzachten door e-mails te versleutelen en alternatieve vormen van veilige communicatie te overwegen voor de overdracht van bijzonder gevoelige informatie.
Het is ook van cruciaal belang om ervoor te zorgen dat alle servers en software zijn gepatcht en up-to-date worden gehouden, en dat gebruikers alleen e-mails van vertrouwde contacten mogen openen.
Organisaties moeten ook de hoeveelheid gevoelige informatie die op mailservers wordt opgeslagen beperken door goede hygiëne toe te passen en het bewaren van gegevens te verminderen, en gevoelige informatie en gesprekken waar mogelijk te beperken tot veiligere geavanceerde systemen.
Het rapport merkte ook op dat een verantwoorde openbaarmaking van kwetsbaarheden, met name die welke worden uitgebuit door APT-actoren zoals TAG-70, om verschillende redenen cruciaal is.
Een analist van de dreigingsinformatie bij de Insikt Group van Recorded Future legde via e-mail uit dat deze aanpak ervoor zorgt dat kwetsbaarheden snel worden gepatcht en verholpen voordat anderen ze ontdekken en misbruiken, en maakt het mogelijk om exploits door geavanceerde aanvallers in te dammen, waardoor bredere en snellere schade wordt voorkomen.
“Uiteindelijk pakt deze aanpak de onmiddellijke risico’s aan en stimuleert ze verbeteringen op de lange termijn in de mondiale cyberbeveiligingspraktijken”, legt de analist uit.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military
- : heeft
- :is
- $UP
- 2020
- 2022
- 2023
- 7
- 80
- a
- vermogen
- misbruik
- toegang
- Volgens
- over
- actieve
- activiteit
- actoren
- Extra
- adressen
- voordelen
- Zaken
- nasleep
- tegen
- Alles
- allianties
- ook
- alternatief
- bedragen
- analist
- en
- Nog een
- nadering
- APT
- ZIJN
- AS
- Hulp
- At
- aanvallen
- Aanvallen
- achterdeur
- gebaseerde
- BE
- geweest
- vaardigheden
- Wit-Rusland
- zowel
- Beide kanten
- overtreding
- bredere
- by
- oproepen
- Campagne
- Campagnes
- CAN
- geval
- chemisch
- coalitie
- komst
- Communicatie
- vergelijkbaar
- compromis
- Aangetast
- uitvoeren
- conflict
- aangezien
- contacten
- Insluiting
- verband
- conversaties
- meewerken
- kon
- landen
- cruciaal
- cyber
- cyberaanvallen
- Cybersecurity
- gegevens
- December
- Verdedigen
- Verdediging
- ingezet
- moeilijk
- onthulling
- Onthul Nu
- ontdekt
- Vroeger
- Vroeg
- Economisch
- Onderwijs
- inspanning
- e-mails
- maakt
- moedigt
- opdrachten
- Engineering
- verzekeren
- waarborgt
- vooral
- spionage
- Europa
- Nederlands
- Europeese Unie
- schatten
- uitgelegd
- exploitatie
- Exploited
- uitbuiten
- exploits
- Februari
- vechten
- Focus
- Voor
- vreemd
- buitenlandse politiek
- formulieren
- oppompen van
- toekomst
- Krijgen
- verzamelen
- geopolitiek
- Georgisch
- Globaal
- goed
- Overheid
- overheden
- Groep
- schaden
- Hebben
- Gemarkeerd
- HTTPS
- Onmiddellijk
- Impact
- verbeteringen
- in
- inclusief
- Inclusief
- industrieën
- informatie
- Infrastructuur
- Intelligentie
- belangen
- Internet
- in
- betrokken zijn
- betrokkenheid
- Iran
- Iraans
- IT
- HAAR
- Januari
- jpg
- gehouden
- bekend
- minst
- licht
- als
- LIMIT
- gekoppeld
- logistiek
- langdurig
- voornamelijk
- Het handhaven
- Mei..
- lidmaatschap
- Leger
- ministerie
- Verzachten
- Mobile
- mobiele telefoon
- Maand
- meer
- Moskou
- Motivatie
- motivaties
- motief
- nationaal
- onderhandelingen
- Nederland
- netwerken
- NGO's
- opvallend
- bekend
- nu
- doelstellingen
- Voor de hand liggend
- oktober
- of
- on
- lopend
- Slechts
- open
- operator
- or
- organisaties
- Overig
- het te bezitten.
- vooral
- partijen
- partner
- phone
- planning
- Plato
- Plato gegevensintelligentie
- PlatoData
- Polen
- beleidsmaatregelen
- Pools
- politiek
- posities
- mogelijk
- mogelijk
- PowerShell
- praktijken
- het voorkomen van
- vorig
- waarschijnlijk
- bewezen
- leverancier
- achtervolging
- snel
- rampen
- variërend
- snel
- redenen
- opgenomen
- gerectificeerd
- vermindering
- met betrekking tot
- Relaties
- uitgebracht
- verslag
- gemeld
- onderzoek
- verantwoordelijk
- beperken
- behoud
- onthullen
- risico's
- robuust
- Rusland
- Russisch
- s
- Sectoren
- beveiligen
- veiligheid
- zoekt
- gevoelig
- apart
- Servers
- service
- Service Provider
- serveer-
- verscheidene
- moet
- Sides
- sinds
- Social
- Social engineering
- Software
- geraffineerd
- Gesponsorde
- stengels
- opgeslagen
- strategisch
- dergelijk
- Ondersteuning
- Zweden
- Systems
- doelgerichte
- targeting
- doelen
- technieken
- telecom
- vertellen
- dat
- De
- de Nederland
- hun
- Ze
- Deze
- Derde
- derden
- dit
- die
- gedachte
- bedreiging
- Gebonden
- naar
- vandaag
- transmissie
- vervoeren
- vervoer
- vertrouwde
- Oekraïne
- Oekraïens
- Tenslotte
- onbevoegd
- Ondermijnen
- unie
- up-to-date
- gebruikt
- gebruikers
- gebruik
- Oezbekistan
- via
- slachtoffers
- kwetsbaarheden
- kwetsbaarheid
- oorlog
- Oorlog in Oekraïne
- was
- telkens als
- welke
- en
- Winter
- Met
- binnen
- XSS
- zephyrnet
