Ruski krivci SolarWinds sprožijo nov niz vohunskih kibernetskih napadov

Ruska obveščevalna služba je v okviru svoje nenehne invazije na Ukrajino ponovno pridobila storitve hekerske skupine Nobelium/APT29, tokrat za vohunjenje za zunanjimi ministrstvi in ​​diplomati iz držav članic Nata, pa tudi za drugimi tarčami v Evropski uniji in Afriki. .

Čas se ujema tudi s številnimi napadi na kanadsko infrastrukturo, ki naj bi bila prav tako povezana z Rusijo.

Poljska vojaška protiobveščevalna služba in ekipa CERT na Poljskem sta 13. aprila izdali opozorilo, skupaj z indikatorji ogroženosti, ki potencialne tarče vohunske kampanje opozarjata na grožnjo. Nobelij, kot skupino označuje Microsoft, tudi imenovana APT29 podjetja Mandiant, ni nov v igri vohunjenja nacionalne države, skupina je stala za zloglasno Napad na dobavno verigo SolarWinds pred skoraj tremi leti.

Zdaj se APT29 vrača s povsem novim naborom orodij za zlonamerno programsko opremo in poroča o ukazih za infiltracijo v diplomatski zbor držav, ki podpirajo Ukrajino, sta pojasnila poljska vojska in opozorilo CERT.

APT29 se vrača z novimi naročili

Glede na poljsko opozorilo napredna trajna grožnja (APT) v vsakem primeru začne svoj napad z dobro zasnovanim e-poštnim sporočilom s lažnim predstavljanjem.

"Izbranemu osebju na diplomatskih mestih so bila poslana e-poštna sporočila, ki so se predstavljala kot veleposlaništva evropskih držav," so pojasnile oblasti. "Korespondenca je vsebovala povabilo na sestanek ali na skupno delo na dokumentih."

Sporočilo bi nato prejemnika usmerilo, naj klikne povezavo ali prenese PDF za dostop do veleposlanikovega koledarja ali pridobi podrobnosti sestanka – oboje pošlje tarče na zlonamerno spletno mesto, naloženo s »podpisnim skriptom« skupine groženj, ki ga poročilo identificira kot "Envyscout."

"JAZt uporablja tehniko tihotapljenja HTML — pri čemer se zlonamerna datoteka, nameščena na strani, dekodira z uporabo JavaScripta, ko se stran odpre, in nato prenese v napravo žrtve,« so dodali poljski organi. "Zaradi tega je zlonamerno datoteko težje odkriti na strani strežnika, kjer je shranjena."

Zlonamerno spletno mesto tarčam pošlje tudi sporočilo, v katerem jih prepriča, da so prenesli pravilno datoteko, piše v opozorilu.

»Napadi lažnega predstavljanja so uspešni, če so sporočila dobro napisana, uporabljajo osebne podatke za prikaz poznavanja cilja in se zdi, da prihajajo iz zakonitega vira,« je za Dark Reading o kampanji povedal Patrick Harr, izvršni direktor SlashNext. "Ta vohunska kampanja izpolnjuje vsa merila za uspeh."

One lažno pošiljanje e-pošte, na primer, se je predstavljal kot poljsko veleposlaništvo in, zanimivo, v času opazovane kampanje je bilo orodje Envyscout trikrat prilagojeno z izboljšavami zamegljevanja, so zapisali poljski organi.

Ko je ogrožena, skupina uporablja spremenjene različice prenosnika Snowyamber, Halfrig, ki poganja Kobaltov udar kot vdelana koda, in Quarterrig, ki si kodo deli s Halfrigom, piše v poljskem opozorilu.

»Opažamo porast teh napadov, pri katerih slabi akter uporablja več stopenj v kampanji za prilagajanje in izboljšanje uspeha,« dodaja Harr. "Uporabljajo tehnike avtomatizacije in strojnega učenja, da prepoznajo, kaj se izogiba odkrivanju, in spremenijo nadaljnje napade, da izboljšajo uspeh."
Po mnenju poljskih organov za kibernetsko varnost bi morale biti vlade, diplomati, mednarodne organizacije in nevladne organizacije (NVO) zelo pozorni na ta in druga ruska vohunska prizadevanja.

"Vojaška protiobveščevalna služba in CERT.PL močno priporočata, da vsi subjekti, ki bi lahko bili v interesnem območju akterja, izvedejo konfiguracijske spremembe, da prekinejo mehanizem dostave, ki je bil uporabljen v opisani kampanji," so povedali uradniki.

Z Rusijo povezani napadi na kanadsko infrastrukturo

Poleg opozoril poljskih uradnikov za kibernetsko varnost je prejšnji teden kanadski premier Justin Trudeau dal javne izjave o nedavnem izbruhu Kibernetski napadi, povezani z Rusijo namenjeno kanadski infrastrukturi, vključno z napadi z zavrnitvijo storitve na Hidro-Québec, elektroenergetsko podjetje, spletna stran za Trudeaujev urad, pristanišče Quebecin Laurentian Bank. Trudeau je dejal, da so kibernetski napadi povezani s podporo Kanade Ukrajini.

"Nekaj ​​napadov z zavrnitvijo storitve na vladna spletna mesta, ki so za nekaj ur onemogočili delovanje, ne bo povzročilo, da bi ponovno razmislili o našem nedvoumnem stališču, da naredimo vse, kar je potrebno, tako dolgo, kot je potrebno, da podpremo Ukrajino,« je dejal Trudeau. , po poročilih.

Šef kanadskega centra za kibernetsko varnost Sami Khoury je na tiskovni konferenci prejšnji teden dejal, da je grožnja resnična, čeprav kanadski infrastrukturi ni bila povzročena nobena škoda. dostop do Kanadčanov, zagotavljanje zdravstvene oskrbe ali na splošno upravljanje katere koli storitve, brez katere Kanadčani ne morejo, morate zaščititi svoje sisteme,« je dejal Khoury. »Spremljajte svoja omrežja. Uporabi ublažitve.«

Ruska prizadevanja za boj proti kibernetskemu kriminalu še naprej divjajo

Medtem ko se ruska invazija na Ukrajino nadaljuje že drugo leto, Mike Parkin z Vulcan Cyber ​​pravi, da nedavne akcije ne bi smele biti presenečenje.

"Skupnost za kibernetsko varnost opazuje posledice in stransko škodo konflikta v Ukrajini od njegovega začetka in vemo, da so ruski in proruski akterji groženj dejavni proti zahodnim ciljem," Parkin pravi. “Glede na ravni dejavnosti kibernetskega kriminala, s katerimi smo se že ukvarjali, je [to] le nekaj novih orodij in novih tarč — in opomnik, da zagotovimo, da je naša obramba posodobljena in pravilno konfigurirana.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• Kovanje prihodnosti z Adryenn Ashley. Dostopite tukaj.
• vir: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks