Russiske Seashell Blizzard Hackere bryder kritiske infrastrukturmål, advarer Microsoft
En farlig russisk-tilknyttet hackergruppe kendt som Seashell Blizzard har intensiveret sine angreb på kritisk infrastruktur på verdensplan, hvilket giver anledning til bekymring over langsigtet cyberspionage og destruktive operationer. Ifølge en nylig advarsel fra Microsoft infiltrerer denne gruppe ikke kun systemer af høj værdi, men indlejrer sig også dybt for at bevare langsigtet kontrol over kompromitterede netværk.
Indholdsfortegnelse
Seashell Blizzard er en notorisk russisk trusselsskuespiller
Seashell Blizzard, også sporet som APT44, BlackEnergy Lite, Sandworm, Telebots og Voodoo Bear, har været en betydelig cybertrussel siden mindst 2009. Gruppen menes bredt at operere under Ruslands militære efterretningstjeneste, GRU (specifikt Unit 74455). Seashell Blizzard er berygtet for sine destruktive angreb, herunder den berygtede NotPetya ransomware, der lammede globale virksomheder i 2017, og KillDisk-malwaren , der var rettet mod ukrainske kritiske systemer i 2015.
Gennem årene har Seashell Blizzard målrettet kritiske infrastruktursektorer som:
- Energi
- Vandforsyning
- Statslige institutioner
- Militære netværk
- Telekommunikation
- Transport
- Fremstilling
Disse angreb er ikke tilfældige – de stemmer nøje overens med russiske militære mål, især i Ukraine, hvor cyberkrigsførelse har været en nøglekomponent i Ruslands bredere konfliktstrategi.
En ny undergruppe med fokus på vedvarende adgang
Microsofts seneste rapport fremhæver fremkomsten af en undergruppe inden for Seashell Blizzard, der har fungeret under radaren i mindst fire år. Denne undergruppe er dedikeret til én kritisk mission: at få indledende adgang til sårbare systemer og etablere langsigtet persistens. Dette gør det muligt for hackerne at bevare kontrollen over kompromitterede systemer i måneder eller endda år, klar til at iværksætte forstyrrende angreb når som helst.
Denne indsats, kaldet BadPilot-kampagnen , har været i gang siden 2021 med fokus på at infiltrere værdifulde mål for at lette bredere netværkskompromisser. Undergruppens metoder beskrives som snigende og yderst opportunistiske, idet de er afhængige af sårbarheder i udbredt software og internetvendte systemer.
Udnyttelse af kendte sårbarheder
Angriberne udnytter velkendte sikkerhedsfejl i populære systemer, herunder:
- ConnectWise ScreenConnect (CVE-2024-1709)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Microsoft Exchange (CVE-2021-34473)
- Zimbra Collaboration Suite (CVE-2022-41352)
- OpenFire Chat Server (CVE-2023-32315)
- TeamCity Build Server (CVE-2023-42793)
- Microsoft Outlook (CVE-2023-23397)
- JBOSS-servere (uspecificeret CVE)
Hackerne anvender en aggressiv "spray-and-pray"-tilgang, scanner internettet for sårbare systemer og angriber dem i massevis. Når de først er inde, integrerer de sig selv ved hjælp af værktøjer som web-shells og Remote Monitoring and Management (RMM) software, hvilket sikrer langsigtet kontrol over de kompromitterede systemer.
Alarmeringsteknikker, der bruges til at opretholde kontrol
Når først et system er kompromitteret, implementerer undergruppen flere persistensteknikker:
- Web Shell-implementeringer: Giver bagdørsadgang til fjernbetjening.
- RMM-værktøjer: Tillader diskret adgang og yderligere malware-implementering.
I flere tilfælde gik denne vedvarende adgang forud for destruktive angreb, hvilket tyder på, at hackerne opretholder en kapacitet med to formål – spionage og sabotage – afhængigt af russiske militære og geopolitiske behov.
Global udvidelse: USA og Storbritannien nu i trådkorset
Mens Ukraine har været det primære fokus for Seashell Blizzards cyberoperationer, afslører Microsofts rapport, at denne undergruppe udvidede sin rækkevidde i 2023, rettet mod organisationer i USA og Storbritannien. Udvidelsen signalerer et farligt skift, hvilket tyder på, at Ruslands cyberkrigsførelse udvider sit omfang til at omfatte vestlige nationer.
En vedvarende og eskalerende trussel
Microsoft advarer om, at denne undergruppe ikke bremser. Faktisk vil det sandsynligvis fortsætte med at udvikle og implementere innovative teknikker til at infiltrere netværk over hele kloden. Med Ruslands igangværende krig i Ukraine og stigende geopolitiske spændinger kan cyberangreb mod kritisk infrastruktur eskalere til ødelæggende konsekvenser i den virkelige verden.
Beskyttelse af din organisation mod Seashell Blizzard
Organisationer i kritiske sektorer skal træffe øjeblikkelige foranstaltninger for at forsvare sig mod denne vedvarende trussel:
- Patch kendte sårbarheder: Sørg for, at systemer, der kører ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire og anden målrettet software, er fuldt opdateret.
- Styrk netværkssikkerhed: Implementer multi-factor authentication (MFA), begræns adgangen til følsomme systemer, og overvåg for usædvanlig aktivitet.
- Overvåg for persistens: Udfør regelmæssige sikkerhedsrevisioner for at opdage uautoriserede web-shells, RMM-værktøjer eller ændringer af login-sider og DNS-konfigurationer.
- Hændelsesberedskab: Forbered dig på potentielle forstyrrende angreb ved at udvikle en omfattende responsplan og sikre, at backups er sikre og regelmæssigt testet.
Sidste advarsel
Seashell Blizzard og dens indledende adgangsundergruppe repræsenterer en klar og aktuel fare for kritisk infrastruktur globalt. Deres ubønhørlige stræben efter vedvarende adgang kunne tjene som en forløber for storstilet cybersabotage, der er i stand til at forstyrre energinet, vandforsyninger, transportsystemer og offentlige operationer. Microsofts seneste resultater er en skarp påmindelse: Det næste store cyberangreb kan allerede lurer inde i kritiske systemer og venter på, at signalet slår til.