Російська група загроз, відома як Зимовий Віверн було виявлено використання вразливостей міжсайтового сценарію (XSS) на серверах веб-пошти Roundcube по всій Європі в жовтні — і тепер її жертви з’являються.
Згідно з оприлюдненим сьогодні звітом Insikt Group Recorded Future про кампанію, група в основному була націлена на урядову, військову та національну інфраструктуру в Грузії, Польщі та Україні.
У звіті також виділено додаткові цілі, зокрема посольство Ірану в Москві, посольство Ірану в Нідерландах і посольство Грузії в Швеції.
Використовуючи складні методи соціальної інженерії, APT (який Insikt називає TAG-70 і який також відомий як TA473 і UAC-0114) використовував Експлойт нульового дня Roundcube отримати несанкціонований доступ до цільових поштових серверів щонайменше у 80 окремих організаціях, починаючи від транспортного та освітнього секторів і закінчуючи організаціями хімічних та біологічних досліджень.
Вважається, що кампанія була розгорнута для збору розвідданих про європейські політичні та військові справи, потенційно для отримання стратегічної переваги або підриву європейської безпеки та альянсів, повідомляє Insikt.
Групу підозрюють у проведенні кампаній кібершпигунства в інтересах Білорусі та Росії та діяла принаймні з грудня 2020 року.
Геополітичні мотиви кібершпигунства Вінтера Віверна
Жовтнева кампанія була пов’язана з попередньою діяльністю TAG-70 проти урядових поштових серверів Узбекистану, про що Insikt Group повідомила в лютому 2023 року.
Очевидна мотивація українського націлювання – конфлікт із Росією.
«У контексті війни, що триває в Україні, скомпрометовані сервери електронної пошти можуть розкрити конфіденційну інформацію щодо військових зусиль і планування України, її відносин і переговорів з країнами-партнерами, коли вона шукає додаткової військової та економічної допомоги, [що] викриває треті сторони, які співпрацюють з українським урядом у приватному порядку та виявити тріщини всередині коаліції, яка підтримує Україну», — зазначається у звіті Insikt.
Водночас, акцент на посольствах Ірану в Росії та Нідерландах може бути пов’язаний з мотивом оцінки поточних дипломатичних зобов’язань і зовнішньополітичних позицій Ірану, зокрема з огляду на участь Ірану в підтримці Росії в конфлікті в Україні.
Подібним чином шпигунство, націлене на посольство Грузії в Швеції та міністерство оборони Грузії, ймовірно, випливає з аналогічних цілей зовнішньої політики, особливо враховуючи те, що Грузія пожвавила своє прагнення до членства в Європейському Союзі та вступу в НАТО після вторгнення Росії в Україну на початку 2022 рік.
Серед інших відомих цілей були організації, пов’язані з логістикою та транспортуванням, що показово, виходячи з контексту війни в Україні, оскільки надійні логістичні мережі виявилися вирішальними для обох сторін у підтримці їх здатності воювати.
Захист від кібершпигунства складний
Кампанії кібершпигунства посилюються: на початку цього місяця складний російський APT запущений цілеспрямована атака PowerShell проти українських військових, тоді як інший російський APT, Turla, атакував польські НУО за допомогою нове шкідливе програмне забезпечення для бекдорів.
Україна також має здійснив власні кібератаки проти Росії, націлившись на сервери московського інтернет-провайдера M9 Telecom у січні, як помсту за підтримуваний Росією злам оператора мобільного зв’язку Київстар.
Але у звіті Insikt Group зазначено, що захист від подібних атак може бути складним, особливо у випадку використання вразливості нульового дня.
Проте організації можуть пом’якшити вплив компрометації шляхом шифрування електронних листів і розгляду альтернативних форм безпечного зв’язку для передачі особливо конфіденційної інформації.
Також важливо переконатися, що всі сервери та програмне забезпечення виправлено та оновлено, а користувачі мають відкривати електронні листи лише від довірених контактів.
Організаціям також слід обмежити кількість конфіденційної інформації, що зберігається на поштових серверах, дотримуючись належної гігієни та зменшивши збереження даних, а також обмежити конфіденційну інформацію та розмови більш безпечними системами високого рівня, коли це можливо.
У звіті також зазначено, що відповідальне розкриття вразливостей, особливо тих, якими користуються учасники APT, такі як TAG-70, має вирішальне значення з кількох причин.
Аналітик аналізу загроз із Insikt Group Recorded Future пояснив електронною поштою, що такий підхід забезпечує швидке виправлення та усунення вразливостей, перш ніж інші виявлять і зловживають ними, а також дозволяє стримувати експлойти від досвідчених зловмисників, запобігаючи ширшій і швидкій шкоді.
«Зрештою, цей підхід усуває безпосередні ризики та заохочує довгострокові вдосконалення глобальної практики кібербезпеки», — пояснив аналітик.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military
- : має
- :є
- $UP
- 2020
- 2022
- 2023
- 7
- 80
- a
- здатність
- зловживання
- доступ
- За
- через
- активний
- діяльність
- актори
- Додатковий
- адреси
- Переваги
- Справи
- наслідки
- проти
- ВСІ
- Альянси
- Також
- альтернатива
- кількість
- аналітик
- та
- Інший
- підхід
- APT
- ЕСТЬ
- AS
- Допомога
- At
- атака
- нападки
- закулісний
- заснований
- BE
- було
- перед тим
- Білорусь
- обидва
- Обидві сторони
- порушення
- ширше
- by
- Виклики
- Кампанія
- Кампанії
- CAN
- випадок
- хімічний
- коаліція
- майбутній
- зв'язку
- порівнянний
- компроміс
- Компрометація
- Проведення
- конфлікт
- беручи до уваги
- Наші контакти
- Політика стримування
- контекст
- розмови
- співпрацюючи
- може
- країни
- вирішальне значення
- кібер-
- кібератаки
- Кібербезпека
- дані
- Грудень
- Захист
- оборони
- розгорнути
- важкий
- розкриття
- відкрити
- відкритий
- Раніше
- Рано
- Економічний
- Освіта
- зусилля
- повідомлення електронної пошти
- дозволяє
- заохочує
- зобов'язань
- Машинобудування
- забезпечувати
- гарантує
- особливо
- шпигунство
- Європа
- Європейська
- european union
- оцінювати
- пояснені
- експлуатація
- експлуатований
- експлуатація
- подвигів
- лютого
- боротися
- Сфокусувати
- для
- іноземні
- зовнішня політика
- форми
- від
- майбутнє
- Отримувати
- збирати
- геополітичний
- Грузія
- грузинський
- Глобальний
- добре
- Уряд
- Уряду
- Group
- шкодити
- Мати
- Виділено
- HTTPS
- Негайний
- Impact
- поліпшення
- in
- включені
- У тому числі
- промисловості
- інформація
- Інфраструктура
- Інтелект
- інтереси
- інтернет
- в
- залучений
- участь
- Іран
- Іранський
- IT
- ЙОГО
- січня
- JPG
- збережений
- відомий
- найменш
- світло
- як
- МЕЖА
- пов'язаний
- логістика
- довгостроковий
- головним чином
- Підтримка
- Може..
- членство
- військовий
- служіння
- Пом'якшити
- Mobile
- мобільний телефон
- місяць
- більше
- Москва
- мотивація
- мотиви
- мотив
- National
- переговори
- Нідерланди
- мереж
- НВО
- Помітний
- зазначив,
- зараз
- цілей
- Очевидний
- жовтень
- of
- on
- постійний
- тільки
- відкрити
- оператор
- or
- організації
- інші
- власний
- особливо
- Сторони
- партнер
- телефон
- планування
- plato
- Інформація про дані Платона
- PlatoData
- Польща
- політика
- полірування
- політичний
- позиції
- це можливо
- потенційно
- PowerShell
- практики
- попередження
- попередній
- ймовірно
- доведений
- Постачальник
- переслідування
- швидко
- пандус
- ранжування
- швидко
- Причини
- записаний
- випрямлений
- зниження
- про
- Відносини
- випущений
- звітом
- Повідомляється
- дослідження
- відповідальний
- обмежити
- утримання
- показувати
- ризики
- міцний
- Росія
- російський
- s
- Сектори
- безпечний
- безпеку
- Шукає
- чутливий
- окремий
- Сервери
- обслуговування
- Постачальник послуг
- виступаючої
- кілька
- Повинен
- Сторони
- з
- соціальна
- Соціальна інженерія
- Софтвер
- складний
- Рекламні
- стебла
- зберігати
- Стратегічний
- такі
- Підтримуючий
- Швеція
- Systems
- цільове
- націлювання
- цілі
- методи
- телеком
- говорять
- Що
- Команда
- Нідерланди
- їх
- Їх
- Ці
- третій
- треті сторони
- це
- ті
- думка
- загроза
- Зв'язаний
- до
- сьогодні
- передача
- перевезення
- транспорт
- Довірений
- Ukraine
- УКРАЇНСЬКА
- Зрештою
- несанкціонований
- підривати
- союз
- відповідний сучасним вимогам
- використовуваний
- користувачі
- використання
- узбекистан
- через
- жертви
- Уразливості
- вразливість
- війна
- Війна в Україні
- було
- коли б ні
- який
- в той час як
- Зима
- з
- в
- XSS
- зефірнет