Связанная с Россией группа угроз, известная как Зимняя Виверна был обнаружен при использовании уязвимостей межсайтового скриптинга (XSS) на серверах веб-почты Roundcube по всей Европе в октябре — и теперь его жертвы становятся известны.
Согласно отчету Insikt Group Recorded Future о кампании, опубликованному сегодня, группа в основном атаковала правительственную, военную и национальную инфраструктуру в Грузии, Польше и Украине.
В отчете также отмечены дополнительные цели, в том числе посольство Ирана в Москве, посольство Ирана в Нидерландах и посольство Грузии в Швеции.
Используя сложные методы социальной инженерии, APT (который Insikt называет TAG-70 и который также известен как TA473 и UAC-0114) использовал Эксплойт нулевого дня Roundcube получить несанкционированный доступ к целевым почтовым серверам как минимум 80 отдельных организаций, начиная от транспорта и образования и заканчивая химическими и биологическими исследовательскими организациями.
По мнению Insikt, кампания, как полагают, была развернута для сбора разведывательной информации о европейских политических и военных делах, потенциально для получения стратегических преимуществ или подрыва европейской безопасности и альянсов.
Группу подозревают в проведении кампаний кибершпионажа в интересах Беларуси и России, и она действует как минимум с декабря 2020 года.
Геополитические мотивы кибершпионажа Уинтер Виверн
Октябрьская кампания была связана с предыдущей деятельностью TAG-70 против правительственных почтовых серверов Узбекистана, о которой Insikt Group сообщила в феврале 2023 года.
Очевидным мотивом нападения на Украину является конфликт с Россией.
«В контексте продолжающейся войны в Украине взломанные почтовые серверы могут раскрыть конфиденциальную информацию о военных усилиях и планах Украины, ее отношениях и переговорах со странами-партнерами, когда она ищет дополнительную военную и экономическую помощь, [что] раскрывает третьи стороны, сотрудничающие с Украиной». с украинским правительством в частном порядке и выявить разногласия внутри коалиции, поддерживающей Украину», — отмечается в отчете Insikt.
Между тем, внимание к иранским посольствам в России и Нидерландах может быть связано с мотивом оценки текущих дипломатических обязательств и внешнеполитических позиций Ирана, особенно с учетом участия Ирана в поддержке России в конфликте на Украине.
Аналогичным образом, шпионаж, нацеленный на посольство Грузии в Швеции и министерство обороны Грузии, вероятно, проистекает из сопоставимых внешнеполитических целей, особенно с учетом того, что Грузия активизировала свое стремление к членству в Европейском Союзе и вступлению в НАТО после вторжения России в Украину в начале 2022.
В число других примечательных целей входили организации, задействованные в сфере логистики и транспорта, что показательно в контексте войны на Украине, поскольку надежные логистические сети оказались решающими для обеих сторон в поддержании их боеспособности.
Защита от кибершпионажа сложна
Кампании кибершпионажа набирают обороты: в начале этого месяца сложная российская APT-система запустили целенаправленную атаку PowerShell против украинских военных, в то время как другой российский APT, Turla, атаковал польские НПО, используя новое вредоносное ПО с бэкдором.
Украина также имеет предприняла собственные кибератаки против России, атаковавшая в январе серверы московского интернет-провайдера «М9 Телеком» в ответ на поддерживаемое Россией взлом оператора мобильной связи «Киевстар».
Но в отчете Insikt Group отмечается, что защита от подобных атак может быть сложной, особенно в случае эксплуатации уязвимостей нулевого дня.
Однако организации могут смягчить последствия компрометации, шифруя электронную почту и рассматривая альтернативные формы безопасной связи для передачи особо конфиденциальной информации.
Также крайне важно убедиться, что все серверы и программное обеспечение обновлены и обновлены, а пользователи должны открывать электронные письма только от доверенных контактов.
Организациям также следует ограничить объем конфиденциальной информации, хранящейся на почтовых серверах, соблюдая правила гигиены и сокращая время хранения данных, а также, когда это возможно, ограничивать конфиденциальную информацию и разговоры более безопасными высокоуровневыми системами.
В отчете также отмечается, что ответственное раскрытие уязвимостей, особенно тех, которые используются участниками APT, такими как TAG-70, имеет решающее значение по нескольким причинам.
Аналитик по анализу угроз из Insikt Group компании Recorded Future объяснил по электронной почте, что этот подход гарантирует быстрое исправление и устранение уязвимостей до того, как другие обнаружат их и начнут ими злоупотреблять, а также позволяет сдерживать эксплойты изощренными злоумышленниками, предотвращая более широкий и быстрый ущерб.
«В конечном счете, этот подход устраняет непосредственные риски и способствует долгосрочному улучшению глобальной практики кибербезопасности», — пояснил аналитик.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military
- :имеет
- :является
- $UP
- 2020
- 2022
- 2023
- 7
- 80
- a
- способность
- злоупотребление
- доступ
- По
- через
- активный
- деятельность
- актеры
- дополнительный
- адреса
- Преимущества
- Дела
- последствия
- против
- Все
- союзы
- причислены
- альтернатива
- количество
- аналитик
- и
- Другой
- подхода
- APT
- МЫ
- AS
- Помощь
- At
- атаковать
- нападки
- задняя дверь
- основанный
- BE
- было
- до
- Беларусь
- изоферменты печени
- Обе стороны
- нарушение
- шире
- by
- Объявления
- Кампания
- Кампании
- CAN
- случаев
- химический
- коалиция
- приход
- Связь
- сравнимый
- скомпрометированы
- Ослабленный
- проведение
- конфликт
- принимая во внимание
- контакты
- Политика сдерживания
- контекст
- Беседы
- взаимодействующий
- может
- страны
- решающее значение
- кибер-
- кибератаки
- Информационная безопасность
- данным
- Декабрь
- Защита
- Защита
- развернуть
- трудный
- раскрытие
- обнаружить
- открытый
- Ранее
- Рано
- Экономические
- Обучение
- усилие
- Писем
- позволяет
- призывает
- обязательств
- Проект и
- обеспечивать
- обеспечивает
- особенно
- шпионаж
- Европе
- Европейская кухня
- Европейский Союз
- оценивать
- объяснены
- эксплуатация
- Эксплуатируемый
- эксплуатации
- использует
- февраль
- бороться
- Фокус
- Что касается
- иностранный
- внешняя политика
- формы
- от
- будущее
- Gain
- собирать
- геополитический
- ГРУЗИИ
- грузинский
- Глобальный
- хорошо
- Правительство
- Правительства
- группы
- вред
- Есть
- Выделенные
- HTTPS
- немедленная
- Влияние
- улучшение
- in
- включены
- В том числе
- промышленности
- информация
- Инфраструктура
- Интеллекта
- интересы
- Интернет
- в
- вовлеченный
- участие
- включая Иран
- иранец
- IT
- ЕГО
- январь
- JPG
- хранится
- известный
- наименее
- легкий
- такое как
- ОГРАНИЧЕНИЯ
- связанный
- логистика
- долгосрочный
- в основном
- Сохранение
- Май..
- членство
- военный
- министерство
- смягчать
- Мобильный телефон
- мобильный телефон
- Месяц
- БОЛЕЕ
- Москва
- мотивация
- мотивации
- мотив
- национальный
- переговоры
- Нидерланды
- сетей
- НПО
- примечательный
- отметил,
- сейчас
- целей
- Очевидный
- октябрь
- of
- on
- постоянный
- только
- открытый
- оператор
- or
- организации
- Другое
- собственный
- особенно
- Стороны
- партнер
- Телефон
- планирование
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Польша
- политика
- Польский
- политический
- позиции
- возможное
- потенциально
- PowerShell
- практиками
- предупреждение
- предыдущий
- вероятно
- доказанный
- Недвижимости
- преследование
- быстро
- уклон
- ранжирование
- быстро
- причины
- записанный
- выпрямленный
- снижение
- по
- Отношения
- выпустил
- отчету
- Сообщается
- исследованиям
- ответственный
- ограничивать
- сохранение
- показывать
- рисках,
- надежный
- Россия
- русский
- s
- Сектора юридического права
- безопасный
- безопасность
- стремится
- чувствительный
- отдельный
- Серверы
- обслуживание
- Провайдер услуг
- выступающей
- несколько
- должен
- Стороны
- с
- Соцсети
- Социальная инженерия
- Software
- сложный
- Спонсоров
- стебли
- хранить
- Стратегический
- такие
- поддержки
- Швеция
- системы
- целевое
- направлены
- направлена против
- снижения вреда
- телеком
- говорят
- который
- Ассоциация
- Нидерланды
- их
- Их
- Эти
- В третьих
- третье лицо
- этой
- те
- мысль
- угроза
- Связанный
- в
- сегодня
- в мозге
- перевозки
- трансфер
- надежных
- Украина
- украинский
- В конечном счете
- неразрешенный
- подрывать
- союз
- новейший
- используемый
- пользователей
- через
- узбекистан
- с помощью
- жертвы
- Уязвимости
- уязвимость
- войны
- Война на Украине
- законопроект
- когда бы ни
- , которые
- в то время как
- Зима
- в
- XSS
- зефирнет