Ruski APT 'Winter Vivern' cilja na evropske vlade, vojsko

Nevarna skupina, povezana z Rusijo, znana kot Zimski Vivern je bilo oktobra odkrito, da izkorišča ranljivosti skriptiranja med spletnimi mesti (XSS) v strežnikih spletne pošte Roundcube po vsej Evropi – in zdaj so njegove žrtve prišle na dan.

Skupina je v glavnem ciljala na vladno, vojaško in nacionalno infrastrukturo v Gruziji, na Poljskem in v Ukrajini, glede na danes objavljeno poročilo Insikt skupine Recorded Future o kampanji.

Poročilo je izpostavilo tudi dodatne tarče, vključno z veleposlaništvom Irana v Moskvi, veleposlaništvom Irana na Nizozemskem in veleposlaništvom Gruzije na Švedskem.

Z uporabo sofisticiranih tehnik socialnega inženiringa je APT (ki ga Insikt imenuje TAG-70 in je znan tudi kot TA473 in UAC-0114) uporabil Roundcube zero-day podvig pridobiti nepooblaščen dostop do ciljnih poštnih strežnikov v vsaj 80 ločenih organizacijah, od transportnega in izobraževalnega sektorja do kemijskih in bioloških raziskovalnih organizacij.

Kampanja naj bi bila izvedena za zbiranje obveščevalnih podatkov o evropskih političnih in vojaških zadevah, potencialno za pridobivanje strateških prednosti ali spodkopavanje evropske varnosti in zavezništev, poroča Insikt.

Skupina je osumljena izvajanja kampanj kibernetskega vohunjenja v interesu Belorusije in Rusije, aktivna pa je vsaj od decembra 2020.

Geopolitični motivi Wintera Viverna za kibernetsko vohunjenje

Oktobrska kampanja je bila povezana s prejšnjo dejavnostjo TAG-70 proti uzbekistanskim vladnim poštnim strežnikom, o kateri je skupina Insikt poročala februarja 2023.

Očitna motivacija za ukrajinski cilj je konflikt z Rusijo.

»V kontekstu potekajoče vojne v Ukrajini lahko ogroženi e-poštni strežniki razkrijejo občutljive informacije o vojnih prizadevanjih in načrtovanju Ukrajine, njenih odnosih in pogajanjih s partnerskimi državami, ko išče dodatno vojaško in gospodarsko pomoč, [kar] razkrije tretje osebe, ki sodelujejo zasebno z ukrajinsko vlado in razkrivajo razpoke znotraj koalicije, ki podpira Ukrajino,« je zapisano v poročilu Insikta.

Medtem bi se osredotočenost na iranska veleposlaništva v Rusiji in na Nizozemskem lahko povezala z motivom za oceno tekočih diplomatskih obveznosti in zunanjepolitičnih stališč Irana, zlasti ob upoštevanju vpletenosti Irana v podporo Rusiji v konfliktu v Ukrajini.

Podobno vohunjenje, usmerjeno v gruzijsko veleposlaništvo na Švedskem in gruzijsko obrambno ministrstvo, verjetno izvira iz primerljivih zunanjepolitičnih ciljev, zlasti ker je Gruzija po vdoru Rusije v Ukrajino v zgodnjem obdobju oživila svoje prizadevanje za članstvo v Evropski uniji in pristop k Natu. 2022.

Druge pomembne tarče so vključevale organizacije, vključene v logistično in transportno industrijo, kar je zgovorno glede na kontekst vojne v Ukrajini, saj so se robustna logistična omrežja izkazala za ključnega pomena za obe strani pri ohranjanju sposobnosti za boj.

Obramba pred kibernetskim vohunjenjem je težka

Kampanje kibernetskega vohunjenja se krepijo: v začetku tega meseca sofisticirani ruski APT začela ciljno usmerjeno kampanjo napada PowerShell na ukrajinsko vojsko, medtem ko je drugi ruski APT, Turla, ciljal na poljske nevladne organizacije z uporabo nova zlonamerna programska oprema za zakulisna vrata.

Tudi Ukrajina ima sprožil lastne kibernetske napade na Rusijo, ki je januarja ciljal na strežnike moskovskega ponudnika internetnih storitev M9 Telecom kot povračilo za vdor v operaterja mobilne telefonije Kyivstar, ki ga podpira Rusija.

Toda poročilo skupine Insikt ugotavlja, da je obramba pred tovrstnimi napadi lahko težavna, zlasti v primeru izkoriščanja ranljivosti ničelnega dne.

Vendar pa lahko organizacije ublažijo vpliv kompromisa s šifriranjem e-pošte in razmišljanjem o alternativnih oblikah varne komunikacije za prenos posebej občutljivih informacij.

Prav tako je ključnega pomena zagotoviti, da so vsi strežniki in programska oprema popravljeni in posodobljeni, uporabniki pa naj odpirajo le e-pošto zaupanja vrednih stikov.

Organizacije bi morale tudi omejiti količino občutljivih informacij, shranjenih na poštnih strežnikih, tako da izvajajo dobro higieno in zmanjšajo hrambo podatkov ter omejijo občutljive informacije in pogovore na varnejše sisteme visoke strani, kadar koli je to mogoče.

Poročilo tudi ugotavlja, da je odgovorno razkritje ranljivosti, zlasti tistih, ki jih izkoriščajo akterji APT, kot je TAG-70, ključno iz več razlogov.

Analitik za obveščanje o grožnjah pri skupini Insikt skupine Recorded Future je po e-pošti pojasnil, da ta pristop zagotavlja, da se ranljivosti hitro zakrpajo in odpravijo, preden jih drugi odkrijejo in zlorabijo, ter omogoča zadrževanje izkoriščanja prefinjenih napadalcev, kar preprečuje širšo in hitrejšo škodo.

»Navsezadnje ta pristop obravnava takojšnja tveganja in spodbuja dolgoročne izboljšave v globalnih praksah kibernetske varnosti,« je pojasnil analitik.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military