Venäjän Seashell Blizzard -hakkerit rikkovat kriittisiä infrastruktuuritavoitteita, Microsoft varoittaa
Vaarallinen Venäjään sidoksissa oleva Seashell Blizzard -niminen hakkerointiryhmä on tehostanut hyökkäyksiään kriittistä infrastruktuuria vastaan maailmanlaajuisesti, mikä herättää huolta pitkäaikaisesta kybervakoilusta ja tuhoisista operaatioista. Microsoftin äskettäin antaman varoituksen mukaan tämä ryhmä ei vain tunkeudu arvokkaisiin järjestelmiin, vaan myös uppoaa itsensä syvälle säilyttääkseen vaarantuneiden verkkojen pitkän aikavälin hallinnan.
Sisällysluettelo
Seashell Blizzard on pahamaineinen venäläinen uhkanäyttelijä
Seashell Blizzard, jota jäljitetään myös nimellä APT44, BlackEnergy Lite, Sandworm, Telebots ja Voodoo Bear, on ollut merkittävä kyberuhka ainakin vuodesta 2009 lähtien. Ryhmän uskotaan yleisesti toimivan Venäjän sotilastiedusteluviraston GRU:n (erityisesti Unit 74455) alaisuudessa. Seashell Blizzard on kuuluisa tuhoisista hyökkäyksistään, mukaan lukien surullisen kuuluisa NotPetya lunnasohjelma, joka lamautti globaaleja yrityksiä vuonna 2017, ja KillDisk-haittaohjelma , joka kohdistui Ukrainan kriittisiin järjestelmiin vuonna 2015.
Seashell Blizzard on vuosien mittaan kohdistanut kohteen kriittisiin infrastruktuurisektoreihin, kuten:
- Energiaa
- Vesihuolto
- Hallituksen toimielimet
- Sotilaalliset verkot
- Tietoliikenne
- Kuljetus
- Valmistus
Nämä hyökkäykset eivät ole satunnaisia – ne ovat tiiviisti linjassa Venäjän sotilaallisten tavoitteiden kanssa, erityisesti Ukrainassa, jossa kybersodankäynti on ollut keskeinen osa Venäjän laajempaa konfliktistrategiaa.
Uusi alaryhmä, joka keskittyy jatkuvaan käyttöön
Microsoftin uusin raportti korostaa alaryhmän syntymistä Seashell Blizzardissa, joka on toiminut tutkan alla vähintään neljä vuotta. Tämä alaryhmä on omistettu yhdelle tärkeälle tehtävälle: haavoittuvien järjestelmien alkupääsyn saaminen ja pitkäaikaisen pysyvyyden luominen. Tämän ansiosta hakkerit voivat hallita vaarantuneita järjestelmiä kuukausia tai jopa vuosia, ja he ovat valmiita käynnistämään häiritseviä hyökkäyksiä milloin tahansa.
Tämä BadPilot-kampanjaksi kutsuttu ponnistus on jatkunut vuodesta 2021 lähtien ja keskittynyt soluttautumaan arvokkaisiin kohteisiin laajempien verkkokompromissien helpottamiseksi. Alaryhmän menetelmiä kuvataan salaperäisiksi ja erittäin opportunistisiksi, ja ne perustuvat laajalti käytettyjen ohjelmistojen ja Internetiin johtavien järjestelmien haavoittuvuuksiin.
Tunnettujen haavoittuvuuksien hyödyntäminen
Hyökkääjät käyttävät hyväkseen suosittujen järjestelmien tunnettuja tietoturvavirheitä, kuten:
- ConnectWise ScreenConnect (CVE-2024-1709)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Microsoft Exchange (CVE-2021-34473)
- Zimbra Collaboration Suite (CVE-2022-41352)
- OpenFire Chat Server (CVE-2023-32315)
- TeamCity Build Server (CVE-2023-42793)
- Microsoft Outlook (CVE-2023-23397)
- JBOSS-palvelimet (määrittämätön CVE)
Hakkerit käyttävät aggressiivista "spray-and-pray" -lähestymistapaa, etsivät Internetistä haavoittuvia järjestelmiä ja hyökkäävät niitä vastaan. Sisään päästyään he upottavat itsensä käyttämällä työkaluja, kuten web-kuoret ja Remote Monitoring and Management (RMM) -ohjelmisto, mikä varmistaa vaarantuneiden järjestelmien pitkän hallinnan.
Hälytystekniikat, joita käytetään hallinnan ylläpitämiseen
Kun järjestelmä on vaarantunut, alaryhmä ottaa käyttöön useita pysyvyystekniikoita:
- Web Shell -asennukset: Takaoven pääsyn tarjoaminen kauko-ohjaukselle.
- RMM-työkalut: Sallii salatun käytön ja haittaohjelmien lisäkäytön.
Useissa tapauksissa tämä jatkuva pääsy edelsi tuhoisia hyökkäyksiä, mikä viittaa siihen, että hakkereilla on kaksikäyttöinen toimintakyky – vakoilu ja sabotaasi – riippuen Venäjän sotilaallisista ja geopoliittisista tarpeista.
Maailmanlaajuinen laajentuminen: Yhdysvallat ja Iso-Britannia nyt ristissä
Vaikka Ukraina on ollut Seashell Blizzardin kybertoimintojen ensisijainen painopiste, Microsoftin raportti paljastaa, että tämä alaryhmä laajensi kattavuuttaan vuonna 2023 kohdentaen organisaatioita Yhdysvalloissa ja Isossa-Britanniassa. Laajennus on merkki vaarallisesta muutoksesta, mikä viittaa siihen, että Venäjän kybersodan pelikirja laajentaa soveltamisalaansa länsimaihin.
Jatkuva ja lisääntyvä uhka
Microsoft varoittaa, että tämä alaryhmä ei hidastu. Itse asiassa se todennäköisesti jatkaa kehittymistä ja innovatiivisten tekniikoiden käyttöönottoa tunkeutuakseen verkkoihin ympäri maailmaa. Venäjän Ukrainassa käynnissä olevan sodan ja lisääntyvien geopoliittisten jännitteiden myötä kriittistä infrastruktuuria vastaan tehdyt kyberhyökkäykset voivat kärjistyä tuhoisiksi reaalimaailman seurauksiksi.
Organisaatiosi suojaaminen simpukanmyrskyltä
Kriittisten alojen organisaatioiden on ryhdyttävä välittömästi toimiin puolustautuakseen tätä jatkuvaa uhkaa vastaan:
- Korjaa tunnetut haavoittuvuudet: Varmista, että järjestelmät, joissa on ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire ja muut kohdistetut ohjelmistot, päivitetään täysin.
- Vahvista verkon suojausta: Ota käyttöön monitekijätodennus (MFA), rajoita pääsyä arkaluonteisiin järjestelmiin ja tarkkaile epätavallista toimintaa.
- Valvo pysyvyyttä: Suorita säännöllisiä tietoturvatarkastuksia tunnistaaksesi luvattomat web-komentotulokset, RMM-työkalut tai muutokset kirjautumissivuihin ja DNS-kokoonpanoihin.
- Tapahtumavalmius: Valmistaudu mahdollisiin häiritseviin hyökkäyksiin kehittämällä kattava reagointisuunnitelma ja varmistamalla, että varmuuskopiot ovat turvallisia ja säännöllisesti testattuja.
Viimeinen varoitus
Seashell Blizzard ja sen alkuperäinen käyttöoikeusalaryhmä muodostavat selvän ja ajankohtaisen vaaran kriittiselle infrastruktuurille maailmanlaajuisesti. Heidän hellittämättömän jatkuvan pääsyn tavoittelu voisi toimia edeltäjänä laajamittaiselle kybersabotaasille, joka voisi häiritä energiaverkkoja, vesihuoltoa, kuljetusjärjestelmiä ja valtion toimintaa. Microsoftin viimeisimmät havainnot ovat jyrkkä muistutus: seuraava suuri kyberhyökkäys saattaa jo väijyä kriittisten järjestelmien sisällä odottamassa signaalin iskemistä.