Російські винуватці SolarWinds запускають новий шквал шпигунських кібератак

У рамках свого триваючого вторгнення в Україну російська розвідка знову заручилася послугами хакерської групи Nobelium/APT29, цього разу для шпигування за міністерствами закордонних справ і дипломатами з країн-членів НАТО, а також за іншими цілями в Європейському Союзі та Африці. .

Цей час також узгоджується з серією атак на канадську інфраструктуру, яка, як вважають, також пов’язана з Росією.

Служба військової контррозвідки Польщі та команда CERT у Польщі 13 квітня опублікували тривогу разом із індикаторами компрометації, попереджаючи потенційних цілей шпигунської кампанії про загрозу. Нобелій, як групу позначає Microsoft, також названа APT29 від Mandiant, не новачок у державній шпигунській грі, група стояла за сумнозвісною Атака на ланцюг поставок SolarWinds майже три роки тому.

Тепер APT29 повернувся з цілим новим набором інструментів зловмисного програмного забезпечення та повідомленими наказами про проникнення в дипломатичний корпус країн, які підтримують Україну, пояснили польські військові та CERT.

APT29 повертається з новими замовленнями

Відповідно до польського попередження, у кожному випадку розширена постійна загроза (APT) починає свою атаку з добре продуманого фішингового електронного листа.

«Електронні листи, які видавали себе за посольства європейських країн, були надіслані обраному персоналу на дипломатичних посадах», – пояснила влада. «У листуванні було запрошення на зустріч чи спільну роботу над документами».

Потім повідомлення спрямовуватиме одержувача натиснути посилання або завантажити PDF-файл, щоб отримати доступ до календаря посла, або отримати деталі зустрічі — і те, і інше надсилатиме цілі на шкідливий сайт, завантажений «сценарієм підпису» групи загроз, який у звіті визначено як «Envyscout».

"Яt використовує техніку HTML-контрабанди — за допомогою якої шкідливий файл, розміщений на сторінці, декодується за допомогою JavaScript, коли сторінка відкривається, а потім завантажується на пристрій жертви», — додала польська влада. «Це ускладнює виявлення шкідливого файлу на стороні сервера, де він зберігається».

Шкідливий сайт також надсилає цілям повідомлення, запевняючи, що вони завантажили правильний файл, йдеться у попередженні.

«Фішингові атаки є успішними, якщо повідомлення добре написане, використовує особисту інформацію, щоб продемонструвати знайомство з ціллю, і виглядає так, що воно походить із законного джерела», — розповідає про кампанію Dark Reading Патрік Харр, генеральний директор SlashNext. «Ця шпигунська кампанія відповідає всім критеріям успіху».

Один фішинговий електронний лист, наприклад, імітував польське посольство, і, що цікаво, протягом спостережуваної кампанії інструмент Envyscout був тричі налаштований із покращенням обфускації, зазначила польська влада.

Після зламу група використовує модифіковані версії завантажувача Snowyamber Halfrig, який запускає Кобальтовий удар як вбудований код, і Quarterrig, який ділиться кодом з Halfrig, йдеться в польському попередженні.

«Ми бачимо збільшення кількості таких атак, коли зловмисник використовує кілька етапів кампанії, щоб налаштувати та покращити успіх», — додає Харр. «Вони використовують методи автоматизації та машинного навчання, щоб визначити, що ухиляється від виявлення, і модифікувати наступні атаки для підвищення успіху».
Уряди, дипломати, міжнародні організації та неурядові організації (НУО) повинні бути напоготові щодо цього та інших російських шпигунських зусиль, за словами польських органів кібербезпеки.

«Служба військової контррозвідки та CERT.PL наполегливо рекомендують усім організаціям, які можуть перебувати в зоні інтересів актора, внести зміни в конфігурацію, щоб порушити механізм доставки, який використовувався в описаній кампанії», — заявили чиновники.

Пов'язані з Росією атаки на інфраструктуру Канади

Окрім попереджень від польських чиновників з кібербезпеки, минулого тижня прем’єр-міністр Канади Джастін Трюдо зробив публічні заяви про недавній спалах Кібератаки, пов'язані з Росією спрямовані на канадську інфраструктуру, в т.ч атаки на відмову в обслуговуванні на гідро-Квебек, електричне підприємство, веб-сайт офісу Трюдо, порт Квебек та Лаврентійський банк. Трюдо заявив, що кібератаки пов'язані з підтримкою України Канадою.

"Кілька атак типу «відмова в обслуговуванні» на урядові веб-сайти, які вивели їх з ладу на кілька годин, не змусять нас переглянути нашу однозначну позицію робити все, що потрібно, стільки, скільки потрібно для підтримки України», – сказав Трюдо. , згідно з повідомленнями.

Керівник Канадського центру кібербезпеки Самі Хурі сказав на прес-конференції минулого тижня, що хоча інфраструктурі Канади не було завдано шкоди, «загроза реальна». «Якщо ви керуєте критично важливими системами, які живлять наші спільноти, пропонуйте Інтернет доступу до канадців, надання медичної допомоги або взагалі керування будь-якими службами, без яких канадці не можуть обійтися, ви повинні захистити свої системи», — сказав Хурі. «Моніторинг ваших мереж. Застосуйте пом'якшення».

Зусилля Росії проти кіберзлочинності тривають

Оскільки російське вторгнення в Україну триває вже другий рік, Майк Паркін із Vulcan Cyber ​​каже, що останні кампанії навряд чи повинні бути несподіванкою.

«Спільнота кібербезпеки спостерігала за наслідками та супутніми збитками від конфлікту в Україні з моменту його початку, і ми знаємо, що російські та проросійські загрозливі суб’єкти діяли проти західних цілей», Паркін каже. «Враховуючи рівень кіберзлочинної діяльності, з якою ми вже мали справу, [це] лише деякі нові інструменти та нові цілі — і нагадування про те, щоб наші засоби захисту були актуальними та правильно налаштованими».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• Карбування майбутнього з Адріенн Ешлі. Доступ тут.
• джерело: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks