Російський APT «Winter Vivern» націлений на європейські уряди, військові

Російська група загроз, відома як Зимовий Віверн було виявлено використання вразливостей міжсайтового сценарію (XSS) на серверах веб-пошти Roundcube по всій Європі в жовтні — і тепер її жертви з’являються.

Згідно з оприлюдненим сьогодні звітом Insikt Group Recorded Future про кампанію, група в основному була націлена на урядову, військову та національну інфраструктуру в Грузії, Польщі та Україні.

У звіті також виділено додаткові цілі, зокрема посольство Ірану в Москві, посольство Ірану в Нідерландах і посольство Грузії в Швеції.

Використовуючи складні методи соціальної інженерії, APT (який Insikt називає TAG-70 і який також відомий як TA473 і UAC-0114) використовував Експлойт нульового дня Roundcube отримати несанкціонований доступ до цільових поштових серверів щонайменше у 80 окремих організаціях, починаючи від транспортного та освітнього секторів і закінчуючи організаціями хімічних та біологічних досліджень.

Вважається, що кампанія була розгорнута для збору розвідданих про європейські політичні та військові справи, потенційно для отримання стратегічної переваги або підриву європейської безпеки та альянсів, повідомляє Insikt.

Групу підозрюють у проведенні кампаній кібершпигунства в інтересах Білорусі та Росії та діяла принаймні з грудня 2020 року.

Геополітичні мотиви кібершпигунства Вінтера Віверна

Жовтнева кампанія була пов’язана з попередньою діяльністю TAG-70 проти урядових поштових серверів Узбекистану, про що Insikt Group повідомила в лютому 2023 року.

Очевидна мотивація українського націлювання – конфлікт із Росією.

«У контексті війни, що триває в Україні, скомпрометовані сервери електронної пошти можуть розкрити конфіденційну інформацію щодо військових зусиль і планування України, її відносин і переговорів з країнами-партнерами, коли вона шукає додаткової військової та економічної допомоги, [що] викриває треті сторони, які співпрацюють з українським урядом у приватному порядку та виявити тріщини всередині коаліції, яка підтримує Україну», — зазначається у звіті Insikt.

Водночас, акцент на посольствах Ірану в Росії та Нідерландах може бути пов’язаний з мотивом оцінки поточних дипломатичних зобов’язань і зовнішньополітичних позицій Ірану, зокрема з огляду на участь Ірану в підтримці Росії в конфлікті в Україні.

Подібним чином шпигунство, націлене на посольство Грузії в Швеції та міністерство оборони Грузії, ймовірно, випливає з аналогічних цілей зовнішньої політики, особливо враховуючи те, що Грузія пожвавила своє прагнення до членства в Європейському Союзі та вступу в НАТО після вторгнення Росії в Україну на початку 2022 рік.

Серед інших відомих цілей були організації, пов’язані з логістикою та транспортуванням, що показово, виходячи з контексту війни в Україні, оскільки надійні логістичні мережі виявилися вирішальними для обох сторін у підтримці їх здатності воювати.

Захист від кібершпигунства складний

Кампанії кібершпигунства посилюються: на початку цього місяця складний російський APT запущений цілеспрямована атака PowerShell проти українських військових, тоді як інший російський APT, Turla, атакував польські НУО за допомогою нове шкідливе програмне забезпечення для бекдорів.

Україна також має здійснив власні кібератаки проти Росії, націлившись на сервери московського інтернет-провайдера M9 Telecom у січні, як помсту за підтримуваний Росією злам оператора мобільного зв’язку Київстар.

Але у звіті Insikt Group зазначено, що захист від подібних атак може бути складним, особливо у випадку використання вразливості нульового дня.

Проте організації можуть пом’якшити вплив компрометації шляхом шифрування електронних листів і розгляду альтернативних форм безпечного зв’язку для передачі особливо конфіденційної інформації.

Також важливо переконатися, що всі сервери та програмне забезпечення виправлено та оновлено, а користувачі мають відкривати електронні листи лише від довірених контактів.

Організаціям також слід обмежити кількість конфіденційної інформації, що зберігається на поштових серверах, дотримуючись належної гігієни та зменшивши збереження даних, а також обмежити конфіденційну інформацію та розмови більш безпечними системами високого рівня, коли це можливо.

У звіті також зазначено, що відповідальне розкриття вразливостей, особливо тих, якими користуються учасники APT, такі як TAG-70, має вирішальне значення з кількох причин.

Аналітик аналізу загроз із Insikt Group Recorded Future пояснив електронною поштою, що такий підхід забезпечує швидке виправлення та усунення вразливостей, перш ніж інші виявлять і зловживають ними, а також дозволяє стримувати експлойти від досвідчених зловмисників, запобігаючи ширшій і швидкій шкоді.

«Зрештою, цей підхід усуває безпосередні ризики та заохочує довгострокові вдосконалення глобальної практики кібербезпеки», — пояснив аналітик.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military