Rosyjski APT „Winter Vivern” atakuje rządy europejskie i wojsko

Powiązana z Rosją grupa zagrożeń znana jako Zimowa Wiwerna został wykryty w październiku przy wykorzystaniu luk w zabezpieczeniach skryptów krzyżowych (XSS) na serwerach poczty internetowej Roundcube w całej Europie — a teraz jego ofiary wychodzą na światło dzienne.

Jak wynika z opublikowanego dzisiaj raportu Insikt Group magazynu Recorded Future, grupa celowała głównie w infrastrukturę rządową, wojskową i narodową w Gruzji, Polsce i na Ukrainie.

W raporcie podkreślono także dodatkowe cele, w tym ambasadę Iranu w Moskwie, ambasadę Iranu w Holandii i ambasadę Gruzji w Szwecji.

Wykorzystując wyrafinowane techniki inżynierii społecznej, APT (który Insikt nazywa TAG-70 i który jest również znany jako TA473 i UAC-0114) wykorzystał Exploit typu zero-day Roundcube uzyskanie nieautoryzowanego dostępu do docelowych serwerów pocztowych w co najmniej 80 oddzielnych organizacjach, od sektorów transportu i edukacji po organizacje zajmujące się badaniami chemicznymi i biologicznymi.

Według Insikt uważa się, że kampanię przeprowadzono w celu zebrania informacji wywiadowczych na temat europejskich spraw politycznych i wojskowych, co mogłoby potencjalnie zyskać przewagę strategiczną lub zagrozić europejskiemu bezpieczeństwu i sojuszom.

Ugrupowanie jest podejrzane o prowadzenie kampanii cyberszpiegowskich na rzecz interesów Białorusi i Rosji i działa co najmniej od grudnia 2020 roku.

Geopolityczne motywacje Winter Vivern dla cyberszpiegostwa

Październikową kampanię powiązano z wcześniejszą aktywnością TAG-70 przeciwko serwerom pocztowym rządu Uzbekistanu, zgłoszoną przez Insikt Group w lutym 2023 r.

Oczywistą motywacją obrania za cel ukraiński jest konflikt z Rosją.

„W kontekście trwającej wojny na Ukrainie skompromitowane serwery poczty elektronicznej mogą ujawnić wrażliwe informacje dotyczące wysiłków wojennych i planowania Ukrainy, jej relacji i negocjacji z krajami partnerskimi w związku z poszukiwaniem przez nią dodatkowej pomocy wojskowej i gospodarczej, [co] ujawnia współpracujące strony trzecie z ukraińskim rządem prywatnie i ujawniają rozłamy w koalicji wspierającej Ukrainę” – zauważa raport Insikt.

Tymczasem skupienie uwagi na ambasadach Iranu w Rosji i Holandii można wiązać z motywem oceny bieżących działań dyplomatycznych Iranu i stanowiska w polityce zagranicznej, zwłaszcza biorąc pod uwagę zaangażowanie Iranu we wspieranie Rosji w konflikcie na Ukrainie.

Podobnie szpiegostwo wymierzone w ambasadę Gruzji w Szwecji i gruzińskie Ministerstwo Obrony prawdopodobnie wynika z porównywalnych celów wynikających z polityki zagranicznej, zwłaszcza że Gruzja ożywiła swoje dążenie do członkostwa w Unii Europejskiej i przystąpienia do NATO w następstwie wtargnięcia Rosji na Ukrainę na początku 2022.

Inne godne uwagi cele obejmowały organizacje związane z branżą logistyki i transportu, co jest wymowne w kontekście wojny na Ukrainie, ponieważ solidne sieci logistyczne okazały się kluczowe dla obu stron w utrzymaniu zdolności bojowej.

Obrona przed cyberszpiegostwem jest trudna

Kampanie cyberszpiegowskie nasilają się: na początku tego miesiąca wyrafinowany rosyjski APT uruchomiona kampanię ukierunkowanych ataków PowerShell na ukraińskie wojsko, podczas gdy inny rosyjski atak APT, Turla, zaatakował polskie organizacje pozarządowe za pomocą nowatorskie złośliwe oprogramowanie typu backdoor.

Ukraina też ma przeprowadziła własne cyberataki na Rosję, atakując w styczniu serwery moskiewskiego dostawcy usług internetowych M9 Telecom, w odwecie za wspierane przez Rosję naruszenie operatora telefonii komórkowej Kyivstar.

Jednak w raporcie Insikt Group zauważono, że obrona przed takimi atakami może być trudna, szczególnie w przypadku wykorzystania luki typu zero-day.

Organizacje mogą jednak złagodzić skutki naruszenia, szyfrując wiadomości e-mail i rozważając alternatywne formy bezpiecznej komunikacji w celu przesyłania szczególnie wrażliwych informacji.

Ważne jest również, aby mieć pewność, że wszystkie serwery i oprogramowanie są aktualizowane i aktualizowane, a użytkownicy powinni otwierać wiadomości e-mail wyłącznie od zaufanych kontaktów.

Organizacje powinny również ograniczyć ilość poufnych informacji przechowywanych na serwerach pocztowych, przestrzegając zasad higieny i ograniczając przechowywanie danych, a także, jeśli to możliwe, ograniczać poufne informacje i rozmowy do bezpieczniejszych, zaawansowanych systemów.

W raporcie zauważono również, że odpowiedzialne ujawnianie luk w zabezpieczeniach, szczególnie tych wykorzystywanych przez podmioty APT, takie jak TAG-70, jest kluczowe z kilku powodów.

Analityk ds. analizy zagrożeń w Insikt Group firmy Recorded Future wyjaśnił e-mailem, że takie podejście zapewnia szybkie łatanie i naprawianie luk w zabezpieczeniach, zanim inne osoby je odkryją i wykorzystają, a także umożliwia powstrzymywanie exploitów przez wyrafinowanych napastników, zapobiegając szerszym i szybszym szkodom.

„Ostatecznie takie podejście eliminuje bezpośrednie zagrożenia i zachęca do długoterminowych ulepszeń globalnych praktyk w zakresie cyberbezpieczeństwa” – wyjaśnił analityk.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military