APT rusesc „Winter Vivern” vizează guvernele europene, armata

Grupul de amenințare aliniat cu Rusia cunoscut ca Winter Vivern a fost descoperită exploatând vulnerabilități de scripting cross-site (XSS) în serverele de webmail Roundcube din Europa în octombrie – iar acum victimele sale ies la lumină.

Grupul a vizat în principal infrastructura guvernamentală, militară și națională din Georgia, Polonia și Ucraina, potrivit raportului Insikt Group al Recorded Future despre campanie lansat astăzi.

Raportul a evidențiat, de asemenea, ținte suplimentare, inclusiv Ambasada Iranului la Moscova, Ambasada Iranului în Țările de Jos și Ambasada Georgiei în Suedia.

Folosind tehnici sofisticate de inginerie socială, APT (pe care Insikt îl numește TAG-70 și care este cunoscut și sub numele de TA473 și UAC-0114) a folosit un Exploatare Roundcube zero-day pentru a obține acces neautorizat la serverele de corespondență vizate în cel puțin 80 de organizații separate, de la sectoarele de transport și educație până la organizații de cercetare chimică și biologică.

Se crede că campania a fost desfășurată pentru a colecta informații despre afacerile politice și militare europene, potențial pentru a obține avantaje strategice sau pentru a submina securitatea și alianțele europene, potrivit Insikt.

Grupul este suspectat că desfășoară campanii de spionaj cibernetic care servesc interesele Belarusului și Rusiei și este activ cel puțin din decembrie 2020.

Motivațiile geopolitice ale lui Winter Vivern pentru spionaj cibernetic

Campania din octombrie a fost legată de activitatea anterioară a TAG-70 împotriva serverelor de corespondență guvernamentale din Uzbekistan, raportată de Insikt Group în februarie 2023.

O motivație evidentă a țintirii ucrainene este conflictul cu Rusia.

„În contextul războiului în curs din Ucraina, serverele de e-mail compromise pot expune informații sensibile cu privire la efortul de război și planificarea Ucrainei, relațiile sale și negocierile cu țările sale partenere, deoarece caută asistență militară și economică suplimentară, [care] expune terților care cooperează. cu guvernul ucrainean în mod privat și dezvăluie fisuri în cadrul coaliției care sprijină Ucraina”, se arată în raportul Insikt.

Între timp, concentrarea asupra ambasadelor iraniene din Rusia și Țările de Jos ar putea fi legată de un motiv de evaluare a angajamentelor diplomatice în curs și a pozițiilor de politică externă ale Iranului, în special având în vedere implicarea Iranului în sprijinirea Rusiei în conflictul din Ucraina.

În mod similar, spionajul care vizează Ambasada Georgiei în Suedia și Ministerul Apărării Georgiei provine probabil din obiective comparabile determinate de politica externă, mai ales că Georgia și-a revitalizat urmărirea de aderare la Uniunea Europeană și aderarea la NATO ca urmare a incursiunii Rusiei în Ucraina la începutul anului. 2022.

Alte ținte notabile au inclus organizații implicate în industriile de logistică și transport, ceea ce este elocvent pe baza contextului războiului din Ucraina, deoarece rețelele logistice robuste s-au dovedit cruciale pentru ambele părți în menținerea capacității lor de a lupta.

Apărarea împotriva spionajului cibernetic este dificilă

Campaniile de spionaj cibernetic au crescut: la începutul acestei luni, un APT rusesc sofisticat a lansat o campanie de atac PowerShell țintită împotriva armatei ucrainene, în timp ce un alt APT rus, Turla, a vizat ONG-urile poloneze folosind un noul malware backdoor.

Ucraina are, de asemenea a lansat propriile atacuri cibernetice împotriva Rusiei, care vizează serverele furnizorului de servicii de internet din Moscova M9 Telecom în ianuarie, ca răzbunare pentru încălcarea susținută de Rusia a operatorului de telefonie mobilă Kyivstar.

Dar raportul Insikt Group a remarcat că apărarea împotriva unor astfel de atacuri poate fi dificilă, mai ales în cazul exploatării vulnerabilităților zero-day.

Cu toate acestea, organizațiile pot atenua impactul compromisului prin criptarea e-mailurilor și luând în considerare forme alternative de comunicații sigure pentru transmiterea de informații deosebit de sensibile.

De asemenea, este esențial să vă asigurați că toate serverele și software-ul sunt corectate și menținute la zi, iar utilizatorii ar trebui să deschidă e-mailuri numai de la contacte de încredere.

Organizațiile ar trebui, de asemenea, să limiteze cantitatea de informații sensibile stocate pe serverele de e-mail prin practicarea unei bune igieni și prin reducerea reținerii datelor și să restricționeze informațiile și conversațiile sensibile la sisteme mai sigure, ori de câte ori este posibil.

Raportul a menționat, de asemenea, că dezvăluirea responsabilă a vulnerabilităților, în special a celor exploatate de actori APT, cum ar fi TAG-70, este crucială din mai multe motive.

Un analist de informații despre amenințări de la Recorded Future's Insikt Group a explicat prin e-mail această abordare asigură că vulnerabilitățile sunt corectate și corectate rapid înainte ca alții să le descopere și să le abuzeze și permite limitarea exploatărilor de către atacatori sofisticați, prevenind daune mai ample și mai rapide.

„În cele din urmă, această abordare abordează riscurile imediate și încurajează îmbunătățirea pe termen lung a practicilor globale de securitate cibernetică”, a explicat analistul.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military