Több licencre vonatkozó kedvezményes árajánlat
Számítógépes biztonság Az orosz Seashell Blizzard hackerei megsértették a...

Az orosz Seashell Blizzard hackerei megsértették a kritikus infrastruktúra célpontjait, figyelmeztet a Microsoft

Mura -ra Számítógépes biztonság-ben
Fordítás ide:
Magyar

A Seashell Blizzard néven ismert, Oroszországhoz köthető veszélyes hackercsoport világszerte fokozta a kritikus infrastruktúrák elleni támadásait, ami aggodalmát fejezte ki a hosszú távú kiberkémkedés és a pusztító műveletek miatt. A Microsoft egy közelmúltbeli figyelmeztetése szerint ez a csoport nem csak beszivárog a nagy értékű rendszerekbe, hanem mélyen beágyazódik, hogy hosszú távú ellenőrzést tartson fenn a kompromittált hálózatok felett.

Seashell Blizzard egy hírhedt orosz fenyegetés színész

A Seashell Blizzard, más néven APT44, BlackEnergy Lite, Sandworm, Telebots és Voodoo Bear, legalább 2009 óta jelentős kiberfenyegetést jelent. A csoportról széles körben úgy tartják, hogy az orosz katonai hírszerző ügynökség, a GRU (konkrétan a 74455-ös egység) alatt működik. A Seashell Blizzard hírhedt pusztító támadásairól, köztük a hírhedt NotPetya ransomware-ről, amely 2017-ben megbénította a globális vállalkozásokat, és a KillDisk kártevőről, amely 2015-ben az ukrán kritikus rendszereket célozta meg.

Az évek során a Seashell Blizzard olyan kritikus infrastrukturális szektorokat célzott meg, mint például:

  • Energia
  • Vízellátás
  • Kormányzati intézmények
  • Katonai hálózatok
  • Távközlés
  • Szállítás
  • Gyártás

Ezek a támadások nem véletlenszerűek – szorosan illeszkednek az orosz katonai célkitűzésekhez, különösen Ukrajnában, ahol a kiberhadviselés kulcsfontosságú eleme volt Oroszország tágabb konfliktusstratégiájának.

Egy új alcsoport, amely a folyamatos hozzáférésre összpontosít

A Microsoft legfrissebb jelentése kiemeli egy olyan alcsoport kialakulását a Seashell Blizzardon belül, amely legalább négy éve működik a radar alatt. Ez az alcsoport egyetlen kritikus küldetéssel foglalkozik: a sebezhető rendszerekhez való kezdeti hozzáférés megszerzése és a hosszú távú kitartás megteremtése. Ez lehetővé teszi a hackerek számára, hogy hónapokig vagy akár évekig fenntartsák az irányítást a kompromittált rendszerek felett, és bármikor készek bomlasztó támadásokra.

A BadPilot kampánynak nevezett erőfeszítés 2021 óta folyik, és a nagy értékű célpontok beszivárgására összpontosít, hogy elősegítse a szélesebb körű hálózati kompromisszumokat. Az alcsoport módszereit lopakodónak és rendkívül opportunisztikusnak minősítik, mivel a széles körben használt szoftverek és az internetre néző rendszerek sebezhetőségeire támaszkodnak.

Ismert sebezhetőségek kihasználása

A támadók a népszerű rendszerek jól ismert biztonsági hibáit használják ki, többek között:

  • ConnectWise ScreenConnect (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Zimbra Collaboration Suite (CVE-2022-41352)
  • OpenFire Chat Server (CVE-2023-32315)
  • TeamCity Build Server (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • JBOSS szerverek (meghatározatlan CVE)

A hackerek agresszív „spray-and-pray” megközelítést alkalmaznak, sérülékeny rendszereket keresve az internetet, és tömegesen támadják meg őket. Miután bekerültek, beágyazzák magukat olyan eszközökkel, mint a webhéjak és a Remote Monitoring and Management (RMM) szoftverek, biztosítva a hosszú távú ellenőrzést a kompromittált rendszerek felett.

Az irányítás fenntartására használt riasztó technikák

Ha egy rendszert feltörtek, az alcsoport több perzisztencia technikát alkalmaz:

  • Web Shell telepítések: Hátsó ajtós hozzáférés biztosítása a távvezérléshez.
  • RMM-eszközök: diszkrét hozzáférést és további rosszindulatú programok telepítését teszi lehetővé.
  • Hitelesítési adatok begyűjtése: Az OWA bejelentkezési oldalainak és DNS-beállításainak módosítása a felhasználói hitelesítő adatok ellopása érdekében.
  • JavaScript-injekció: Rosszindulatú kód hozzáadása a bejelentkezési portálokhoz a felhasználónevek és jelszavak gyűjtéséhez.

    • Több esetben ez a folyamatos hozzáférés megelőzte a pusztító támadásokat, ami arra utal, hogy a hackerek kettős célú – kémkedés és szabotázs – képességet tartanak fenn az orosz katonai és geopolitikai igényektől függően.

    Globális terjeszkedés: az Egyesült Államok és az Egyesült Királyság most célkeresztben

    Míg a Seashell Blizzard kiberműveleteinek elsődleges célja Ukrajna volt, a Microsoft jelentése feltárja, hogy ez az alcsoport 2023-ban kiterjesztette hatókörét az egyesült államokbeli és az Egyesült Királyság szervezeteit célozva meg. A terjeszkedés veszélyes elmozdulást jelez, ami arra utal, hogy Oroszország kiberhadviselési játékkönyve a nyugati nemzetekre is kiterjeszti hatókörét.

    Állandó és fokozódó fenyegetés

    A Microsoft arra figyelmeztet, hogy ez az alcsoport nem lassul. Valójában valószínűleg tovább fog fejlődni és innovatív technikákat alkalmazni, hogy beszivárogjon a hálózatokba szerte a világon. Az Oroszország által Ukrajnában zajló háború és a növekvő geopolitikai feszültség miatt a kritikus infrastruktúrák elleni kibertámadások pusztító valós következményekké fajulhatnak.

    Szervezetének védelme a kagylóhóvihar ellen

    A kritikus szektorokban működő szervezeteknek azonnali lépéseket kell tenniük, hogy megvédjék ezt a tartós fenyegetést:

    • Ismert biztonsági rések javítása: Gondoskodjon arról, hogy a ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire és más célzott szoftvereket futtató rendszerek teljes mértékben frissüljenek.
    • A hálózat biztonságának megerősítése: Telepítsen többtényezős hitelesítést (MFA), korlátozza a hozzáférést az érzékeny rendszerekhez, és figyelje a szokatlan tevékenységeket.
    • Folyamatosság figyelése: Végezzen rendszeres biztonsági auditokat a jogosulatlan webhéjak, RMM-eszközök, illetve a bejelentkezési oldalak és DNS-konfigurációk módosításainak észlelése érdekében.
    • Eseményreagálási készenlét: Készüljön fel a potenciális zavaró támadásokra egy átfogó választerv kidolgozásával, valamint gondoskodjon a biztonsági mentések biztonságosságáról és rendszeres teszteléséről.

    Utolsó Figyelmeztetés

    A Seashell Blizzard és annak kezdeti hozzáférési alcsoportja egyértelmű és jelenlegi veszélyt jelent a kritikus infrastruktúra számára világszerte. Folyamatos hozzáférésre irányuló könyörtelen törekvésük a nagyszabású kiberszabotázs előfutáraként szolgálhat, amely képes megzavarni az energiahálózatokat, a vízellátást, a közlekedési rendszereket és a kormányzati műveleteket. A Microsoft legfrissebb megállapításai éles emlékeztető: a következő jelentős kibertámadás már a kritikus rendszerek belsejében leselkedhet, és várja a jelet.


    Betöltés...