Den Russland-justerte trusselgruppen kjent som Winter Vivern ble oppdaget utnytte cross-site scripting (XSS) sårbarheter i Roundcube webmail-servere over hele Europa i oktober – og nå kommer ofrene frem i lyset.
Gruppen målrettet hovedsakelig regjering, militær og nasjonal infrastruktur i Georgia, Polen og Ukraina, ifølge Recorded Futures Insikt Group-rapport om kampanjen som ble utgitt i dag.
Rapporten fremhevet også flere mål, inkludert Irans ambassade i Moskva, Irans ambassade i Nederland og Georgias ambassade i Sverige.
Ved å bruke sofistikerte sosiale ingeniørteknikker, brukte APT (som Insikt kaller TAG-70 og som også er kjent som TA473 og UAC-0114) en Roundcube zero-day utnyttelse å få uautorisert tilgang til målrettede e-postservere på tvers av minst 80 separate organisasjoner, alt fra transport- og utdanningssektorene til kjemiske og biologiske forskningsorganisasjoner.
Kampanjen antas å ha blitt utplassert for å samle etterretning om europeiske politiske og militære anliggender, potensielt for å oppnå strategiske fordeler eller undergrave europeisk sikkerhet og allianser, ifølge Insikt.
Gruppen er mistenkt for å ha gjennomført nettspionasjekampanjer som tjener Hviterussland og Russlands interesser, og har vært aktiv siden minst desember 2020.
Winter Viverns geopolitiske motivasjoner for cyberspionasje
Oktoberkampanjen var knyttet til TAG-70s tidligere aktivitet mot Usbekistan regjerings postservere, rapportert av Insikt Group i februar 2023.
En åpenbar motivasjon for det ukrainske målet er konflikten med Russland.
«I sammenheng med den pågående krigen i Ukraina, kan kompromitterte e-postservere avsløre sensitiv informasjon om Ukrainas krigsinnsats og planlegging, dets relasjoner og forhandlinger med dets partnerland når det søker ytterligere militær og økonomisk bistand, [som] avslører tredjeparter som samarbeider med den ukrainske regjeringen privat, og avsløre sprekker i koalisjonen som støtter Ukraina, heter det i Insikt-rapporten.
I mellomtiden kan fokuset på iranske ambassader i Russland og Nederland være knyttet til et motiv for å evaluere Irans pågående diplomatiske engasjementer og utenrikspolitiske posisjoner, spesielt med tanke på Irans engasjement i å støtte Russland i konflikten i Ukraina.
På samme måte stammer spionasjen rettet mot den georgiske ambassaden i Sverige og det georgiske forsvarsdepartementet sannsynligvis fra sammenlignbare utenrikspolitiske mål, spesielt ettersom Georgia har revitalisert sin jakt på EU-medlemskap og NATO-tilslutning i kjølvannet av Russlands inntog i Ukraina tidlig. 2022.
Andre bemerkelsesverdige mål inkluderer organisasjoner involvert i logistikk- og transportindustrien, noe som er talende basert på konteksten av krigen i Ukraina, ettersom robuste logistikknettverk har vist seg avgjørende for begge sider for å opprettholde deres evne til å kjempe.
Cyberspionasjeforsvar er vanskelig
Nettspionasjekampanjer har økt: Tidligere denne måneden, en sofistikert russisk APT lansert en målrettet PowerShell-angrepskampanje mot det ukrainske militæret, mens en annen russisk APT, Turla, målrettet polske NGOer ved hjelp av en ny bakdør malware.
Ukraina har også startet sine egne nettangrep mot Russland, rettet mot serverne til Moskvas internettleverandør M9 Telecom i januar, som gjengjeldelse for det Russland-støttede bruddet på Kyivstar-mobiltelefonoperatøren.
Men Insikt Group-rapporten bemerket at det kan være vanskelig å forsvare seg mot angrep som disse, spesielt i tilfelle av null-dagers sårbarhetsutnyttelse.
Organisasjoner kan imidlertid redusere virkningen av kompromisser ved å kryptere e-post og vurdere alternative former for sikker kommunikasjon for overføring av spesielt sensitiv informasjon.
Det er også avgjørende å sikre at alle servere og programvare er oppdatering og holdes oppdatert, og brukere bør kun åpne e-poster fra pålitelige kontakter.
Organisasjoner bør også begrense mengden sensitiv informasjon som lagres på e-postservere ved å praktisere god hygiene og redusere datalagring og begrense sensitiv informasjon og samtaler til sikrere høysidesystemer når det er mulig.
Rapporten bemerket også at ansvarlig avsløring av sårbarheter, spesielt de som utnyttes av APT-aktører som TAG-70, er avgjørende av flere grunner.
En trusseletterretningsanalytiker ved Recorded Futures Insikt Group forklarte via e-post at denne tilnærmingen sikrer at sårbarheter blir lappet og utbedret raskt før andre oppdager og misbruker dem, og muliggjør inneslutning av utnyttelser fra sofistikerte angripere, og forhindrer bredere og raskere skade.
"Til syvende og sist adresserer denne tilnærmingen de umiddelbare risikoene og oppmuntrer til langsiktige forbedringer i global cybersikkerhetspraksis," forklarte analytikeren.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military
- : har
- :er
- $OPP
- 2020
- 2022
- 2023
- 7
- 80
- a
- evne
- misbruk
- adgang
- Ifølge
- tvers
- aktiv
- aktivitet
- aktører
- Ytterligere
- adresser
- fordeler
- Affairs
- kjølvannet
- mot
- Alle
- allianser
- også
- alternativ
- beløp
- analytiker
- og
- En annen
- tilnærming
- APT
- ER
- AS
- Assistanse
- At
- angripe
- Angrep
- backdoor
- basert
- BE
- vært
- før du
- Hviterussland
- både
- Begge sider
- brudd
- bredere
- by
- Samtaler
- Kampanje
- Kampanjer
- CAN
- saken
- kjemisk
- koalisjon
- kommer
- kommunikasjon
- sammenlign
- kompromiss
- kompromittert
- gjennomføre
- konflikt
- vurderer
- kontakter
- Begrensning
- kontekst
- samtaler
- samvirkende
- kunne
- land
- avgjørende
- cyber
- cyberattacks
- Cybersecurity
- dato
- Desember
- Defending
- Forsvar
- utplassert
- vanskelig
- avsløring
- oppdage
- oppdaget
- Tidligere
- Tidlig
- økonomisk
- Kunnskap
- innsats
- emalje
- e-post
- muliggjør
- oppmuntrer
- engasjementer
- Ingeniørarbeid
- sikre
- sikrer
- spesielt
- spionasje
- Europa
- europeisk
- Den Europeiske Union
- evaluere
- forklarte
- utnytting
- Exploited
- utnytte
- exploits
- Februar
- slåss
- Fokus
- Til
- utenlandske
- utenrikspolitikk
- skjemaer
- fra
- framtid
- Gevinst
- samle
- geopolitiske
- Georgia
- georgian
- Global
- god
- Regjeringen
- regjeringer
- Gruppe
- skade
- Ha
- Fremhevet
- HTTPS
- umiddelbar
- Påvirkning
- forbedringer
- in
- inkludert
- Inkludert
- bransjer
- informasjon
- Infrastruktur
- Intelligens
- interesser
- Internet
- inn
- involvert
- engasjement
- Iran
- iransk
- IT
- DET ER
- Januar
- jpg
- holdt
- kjent
- minst
- lett
- i likhet med
- BEGRENSE
- knyttet
- logistikk
- langsiktig
- hovedsakelig
- Vedlike
- Kan..
- medlemskap
- Militær
- departement
- Minske
- Mobil
- mobiltelefon
- Måned
- mer
- Moskva
- Motivasjon
- motivasjon
- motiv
- nasjonal
- forhandlinger
- Nederland
- nettverk
- Frivillige organisasjoner
- bemerkelsesverdig
- bemerket
- nå
- mål
- Åpenbare
- oktober
- of
- on
- pågående
- bare
- åpen
- operatør
- or
- organisasjoner
- andre
- egen
- spesielt
- parter
- partner
- telefon
- planlegging
- plato
- Platon Data Intelligence
- PlatonData
- Polen
- politikk
- polsk
- politisk
- stillinger
- mulig
- potensielt
- PowerShell
- praksis
- hindre
- forrige
- sannsynligvis
- beviste
- leverandør
- forfølgelse
- raskt
- ramping
- spenner
- rask
- grunner
- registrert
- utbedret
- redusere
- om
- Relasjoner
- utgitt
- rapporterer
- rapportert
- forskning
- ansvarlig
- begrense
- oppbevaring
- avsløre
- risikoer
- robust
- Russland
- russisk
- s
- sektorer
- sikre
- sikkerhet
- søker
- sensitive
- separat
- Servere
- tjeneste
- Tjenesteyter
- servering
- flere
- bør
- Tilbehør
- siden
- selskap
- Sosialteknikk
- Software
- sofistikert
- Sponset
- stammer
- lagret
- Strategisk
- slik
- Støtte
- Sverige
- Systemer
- målrettet
- rettet mot
- mål
- teknikker
- telekom
- fortelle
- Det
- De
- Nederland
- deres
- Dem
- Disse
- Tredje
- tredjeparter
- denne
- De
- trodde
- trussel
- Tied
- til
- i dag
- overføring
- transportere
- transport
- klarert
- Ukraina
- ukrainsk
- Til syvende og sist
- uautorisert
- undergrave
- union
- up-to-date
- brukt
- Brukere
- ved hjelp av
- Usbekistan
- av
- ofre
- Sikkerhetsproblemer
- sårbarhet
- krig
- Krig i Ukraina
- var
- når som helst
- hvilken
- mens
- Vinter
- med
- innenfor
- XSS
- zephyrnet
