APT ของรัสเซีย 'Winter Vivern' มุ่งเป้าไปที่รัฐบาลยุโรป การทหาร

กลุ่มภัยคุกคามในเครือรัสเซียที่รู้จักกันในชื่อ วินเทอร์ วิเวิร์น ถูกค้นพบว่าใช้ประโยชน์จากช่องโหว่ Cross-site scripting (XSS) ในเซิร์ฟเวอร์เว็บเมล Roundcube ทั่วยุโรปในเดือนตุลาคม — และตอนนี้เหยื่อของมันก็กำลังถูกเปิดเผย

กลุ่มนี้มุ่งเป้าไปที่โครงสร้างพื้นฐานของรัฐบาล ทหาร และระดับชาติในจอร์เจีย โปแลนด์ และยูเครนเป็นหลัก ตามรายงานของ Insikt Group ของ Recorded Future เกี่ยวกับการรณรงค์ที่เผยแพร่ในวันนี้

รายงานยังเน้นเป้าหมายเพิ่มเติม รวมถึงสถานทูตอิหร่านในมอสโก สถานทูตอิหร่านในเนเธอร์แลนด์ และสถานทูตจอร์เจียในสวีเดน

ด้วยการใช้เทคนิควิศวกรรมสังคมที่ซับซ้อน APT (ซึ่ง Insikt เรียกว่า TAG-70 หรือที่รู้จักกันในชื่อ TA473 และ UAC-0114) ได้ใช้ การใช้ประโยชน์จาก Roundcube แบบซีโร่เดย์ เพื่อเข้าถึงเมลเซิร์ฟเวอร์เป้าหมายโดยไม่ได้รับอนุญาตจากองค์กรต่างๆ อย่างน้อย 80 องค์กร ตั้งแต่ภาคการขนส่งและการศึกษา ไปจนถึงองค์กรวิจัยทางเคมีและชีวภาพ

คาดว่าการรณรงค์ดังกล่าวถูกนำไปใช้เพื่อรวบรวมข้อมูลเกี่ยวกับกิจการการเมืองและการทหารของยุโรป ซึ่งอาจได้รับความได้เปรียบเชิงกลยุทธ์หรือบ่อนทำลายความมั่นคงและพันธมิตรของยุโรป ตามรายงานของ Insikt

กลุ่มนี้ต้องสงสัยว่าดำเนินการรณรงค์จารกรรมทางไซเบอร์เพื่อผลประโยชน์ของเบลารุสและรัสเซีย และเปิดใช้งานตั้งแต่อย่างน้อยเดือนธันวาคม 2020

แรงจูงใจทางภูมิรัฐศาสตร์ของ Winter Vivern เพื่อการจารกรรมทางไซเบอร์

แคมเปญเดือนตุลาคมเชื่อมโยงกับกิจกรรมก่อนหน้านี้ของ TAG-70 กับเซิร์ฟเวอร์อีเมลของรัฐบาลอุซเบกิสถาน รายงานโดย Insikt Group ในเดือนกุมภาพันธ์ 2023

แรงจูงใจที่ชัดเจนสำหรับการกำหนดเป้าหมายของยูเครนคือความขัดแย้งกับรัสเซีย

“ในบริบทของสงครามที่กำลังดำเนินอยู่ในยูเครน เซิร์ฟเวอร์อีเมลที่ถูกบุกรุกอาจเปิดเผยข้อมูลที่ละเอียดอ่อนเกี่ยวกับความพยายามและการวางแผนการทำสงครามของยูเครน ความสัมพันธ์ และการเจรจากับประเทศพันธมิตรในขณะที่แสวงหาความช่วยเหลือทางทหารและเศรษฐกิจเพิ่มเติม [ซึ่ง] เปิดเผยความร่วมมือของบุคคลที่สาม กับรัฐบาลยูเครนเป็นการส่วนตัว และเผยให้เห็นรอยแยกภายในแนวร่วมที่สนับสนุนยูเครน” รายงานของ Insikt ระบุ

ขณะเดียวกัน การมุ่งเน้นไปที่สถานทูตอิหร่านในรัสเซียและเนเธอร์แลนด์อาจเชื่อมโยงกับแรงจูงใจในการประเมินภารกิจทางการทูตและจุดยืนด้านนโยบายต่างประเทศของอิหร่านที่กำลังดำเนินอยู่ โดยเฉพาะอย่างยิ่งเมื่อพิจารณาถึงการมีส่วนร่วมของอิหร่านในการสนับสนุนรัสเซียในความขัดแย้งในยูเครน

ในทำนองเดียวกัน การจารกรรมที่มุ่งเป้าไปที่สถานทูตจอร์เจียในสวีเดนและกระทรวงกลาโหมของจอร์เจียอาจเกิดขึ้นจากวัตถุประสงค์ที่ขับเคลื่อนด้วยนโยบายต่างประเทศที่เทียบเคียงได้ โดยเฉพาะอย่างยิ่งเมื่อจอร์เจียได้ฟื้นฟูการแสวงหาสมาชิกสหภาพยุโรปและการภาคยานุวัติของ NATO ภายหลังการรุกรานของรัสเซียในยูเครนในช่วงต้น 2022.

เป้าหมายที่โดดเด่นอื่นๆ ได้แก่ องค์กรที่เกี่ยวข้องกับอุตสาหกรรมโลจิสติกส์และการขนส่ง ซึ่งกำลังบอกเล่าตามบริบทของสงครามในยูเครน เนื่องจากเครือข่ายโลจิสติกส์ที่แข็งแกร่งได้พิสูจน์แล้วว่ามีความสำคัญสำหรับทั้งสองฝ่ายในการรักษาความสามารถในการต่อสู้

การป้องกันการจารกรรมทางไซเบอร์เป็นเรื่องยาก

แคมเปญจารกรรมทางไซเบอร์ได้เพิ่มมากขึ้น: เมื่อต้นเดือนที่ผ่านมา APT ของรัสเซียที่มีความซับซ้อน เปิดตัว การรณรงค์โจมตี PowerShell แบบกำหนดเป้าหมายต่อกองทัพยูเครน ในขณะที่ APT ของรัสเซียอีกแห่งคือ Turla กำหนดเป้าหมายองค์กรพัฒนาเอกชนของโปแลนด์โดยใช้ มัลแวร์แบ็คดอร์ตัวใหม่.

ยูเครนก็มี เปิดตัวการโจมตีทางไซเบอร์ต่อรัสเซียโดยกำหนดเป้าหมายไปที่เซิร์ฟเวอร์ของผู้ให้บริการอินเทอร์เน็ตในมอสโก M9 Telecom ในเดือนมกราคม เพื่อตอบโต้การละเมิดผู้ให้บริการโทรศัพท์มือถือ Kyivstar ที่รัสเซียหนุนหลัง

แต่รายงานของ Insikt Group ระบุว่าการป้องกันการโจมตีเช่นนี้อาจเป็นเรื่องยาก โดยเฉพาะอย่างยิ่งในกรณีของการแสวงหาประโยชน์จากช่องโหว่แบบซีโรเดย์

อย่างไรก็ตาม องค์กรสามารถลดผลกระทบจากการประนีประนอมได้โดยการเข้ารหัสอีเมล และพิจารณารูปแบบอื่นของการสื่อสารที่ปลอดภัยสำหรับการส่งข้อมูลที่ละเอียดอ่อนโดยเฉพาะ

สิ่งสำคัญคือต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์และซอฟต์แวร์ทั้งหมดได้รับการติดตั้งและอัปเดตให้ทันสมัยอยู่เสมอ และผู้ใช้ควรเปิดอีเมลจากผู้ติดต่อที่เชื่อถือได้เท่านั้น

องค์กรควรจำกัดปริมาณข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในเมลเซิร์ฟเวอร์ด้วยการปฏิบัติตามสุขอนามัยที่ดี และลดการเก็บรักษาข้อมูล และจำกัดข้อมูลที่ละเอียดอ่อนและการสนทนาให้อยู่ในระบบระดับสูงที่ปลอดภัยยิ่งขึ้นทุกครั้งที่เป็นไปได้

รายงานยังตั้งข้อสังเกตอีกว่าการเปิดเผยช่องโหว่อย่างมีความรับผิดชอบ โดยเฉพาะอย่างยิ่งช่องโหว่ที่ถูกใช้ประโยชน์โดยผู้มีบทบาท APT เช่น TAG-70 นั้นมีความสำคัญด้วยเหตุผลหลายประการ

นักวิเคราะห์ข่าวกรองภัยคุกคามที่ Insikt Group ของ Recorded Future อธิบายผ่านทางอีเมลว่าแนวทางนี้ช่วยให้มั่นใจได้ว่าช่องโหว่ต่างๆ ได้รับการแก้ไขและแก้ไขอย่างรวดเร็วก่อนที่ผู้อื่นจะค้นพบและนำไปใช้ในทางที่ผิด และเปิดใช้งานการจำกัดช่องโหว่โดยผู้โจมตีที่มีความซับซ้อน ป้องกันอันตรายในวงกว้างและรวดเร็วยิ่งขึ้น

“ท้ายที่สุดแล้ว แนวทางนี้จัดการกับความเสี่ยงที่เกิดขึ้นทันทีและส่งเสริมการปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ทั่วโลกในระยะยาว” นักวิเคราะห์อธิบาย

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military