Российская APT «Winter Vivern» нацелена на европейские правительства и военные

Связанная с Россией группа угроз, известная как Зимняя Виверна был обнаружен при использовании уязвимостей межсайтового скриптинга (XSS) на серверах веб-почты Roundcube по всей Европе в октябре — и теперь его жертвы становятся известны.

Согласно отчету Insikt Group Recorded Future о кампании, опубликованному сегодня, группа в основном атаковала правительственную, военную и национальную инфраструктуру в Грузии, Польше и Украине.

В отчете также отмечены дополнительные цели, в том числе посольство Ирана в Москве, посольство Ирана в Нидерландах и посольство Грузии в Швеции.

Используя сложные методы социальной инженерии, APT (который Insikt называет TAG-70 и который также известен как TA473 и UAC-0114) использовал Эксплойт нулевого дня Roundcube получить несанкционированный доступ к целевым почтовым серверам как минимум 80 отдельных организаций, начиная от транспорта и образования и заканчивая химическими и биологическими исследовательскими организациями.

По мнению Insikt, кампания, как полагают, была развернута для сбора разведывательной информации о европейских политических и военных делах, потенциально для получения стратегических преимуществ или подрыва европейской безопасности и альянсов.

Группу подозревают в проведении кампаний кибершпионажа в интересах Беларуси и России, и она действует как минимум с декабря 2020 года.

Геополитические мотивы кибершпионажа Уинтер Виверн

Октябрьская кампания была связана с предыдущей деятельностью TAG-70 против правительственных почтовых серверов Узбекистана, о которой Insikt Group сообщила в феврале 2023 года.

Очевидным мотивом нападения на Украину является конфликт с Россией.

«В контексте продолжающейся войны в Украине взломанные почтовые серверы могут раскрыть конфиденциальную информацию о военных усилиях и планах Украины, ее отношениях и переговорах со странами-партнерами, когда она ищет дополнительную военную и экономическую помощь, [что] раскрывает третьи стороны, сотрудничающие с Украиной». с украинским правительством в частном порядке и выявить разногласия внутри коалиции, поддерживающей Украину», — отмечается в отчете Insikt.

Между тем, внимание к иранским посольствам в России и Нидерландах может быть связано с мотивом оценки текущих дипломатических обязательств и внешнеполитических позиций Ирана, особенно с учетом участия Ирана в поддержке России в конфликте на Украине.

Аналогичным образом, шпионаж, нацеленный на посольство Грузии в Швеции и министерство обороны Грузии, вероятно, проистекает из сопоставимых внешнеполитических целей, особенно с учетом того, что Грузия активизировала свое стремление к членству в Европейском Союзе и вступлению в НАТО после вторжения России в Украину в начале 2022.

В число других примечательных целей входили организации, задействованные в сфере логистики и транспорта, что показательно в контексте войны на Украине, поскольку надежные логистические сети оказались решающими для обеих сторон в поддержании их боеспособности.

Защита от кибершпионажа сложна

Кампании кибершпионажа набирают обороты: в начале этого месяца сложная российская APT-система запустили целенаправленную атаку PowerShell против украинских военных, в то время как другой российский APT, Turla, атаковал польские НПО, используя новое вредоносное ПО с бэкдором.

Украина также имеет предприняла собственные кибератаки против России, атаковавшая в январе серверы московского интернет-провайдера «М9 Телеком» в ответ на поддерживаемое Россией взлом оператора мобильной связи «Киевстар».

Но в отчете Insikt Group отмечается, что защита от подобных атак может быть сложной, особенно в случае эксплуатации уязвимостей нулевого дня.

Однако организации могут смягчить последствия компрометации, шифруя электронную почту и рассматривая альтернативные формы безопасной связи для передачи особо конфиденциальной информации.

Также крайне важно убедиться, что все серверы и программное обеспечение обновлены и обновлены, а пользователи должны открывать электронные письма только от доверенных контактов.

Организациям также следует ограничить объем конфиденциальной информации, хранящейся на почтовых серверах, соблюдая правила гигиены и сокращая время хранения данных, а также, когда это возможно, ограничивать конфиденциальную информацию и разговоры более безопасными высокоуровневыми системами.

В отчете также отмечается, что ответственное раскрытие уязвимостей, особенно тех, которые используются участниками APT, такими как TAG-70, имеет решающее значение по нескольким причинам.

Аналитик по анализу угроз из Insikt Group компании Recorded Future объяснил по электронной почте, что этот подход гарантирует быстрое исправление и устранение уязвимостей до того, как другие обнаружат их и начнут ими злоупотреблять, а также позволяет сдерживать эксплойты изощренными злоумышленниками, предотвращая более широкий и быстрый ущерб.

«В конечном счете, этот подход устраняет непосредственные риски и способствует долгосрочному улучшению глобальной практики кибербезопасности», — пояснил аналитик.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military