Preventivo sconto multi-licenza
Sicurezza informatica Gli hacker russi di Seashell Blizzard violano obiettivi...

Gli hacker russi di Seashell Blizzard violano obiettivi infrastrutturali critici, avverte Microsoft

Entro Mura nel Sicurezza informatica
Traduci in:
Italiano

Un pericoloso gruppo di hacker legato alla Russia, noto come Seashell Blizzard , ha intensificato i suoi attacchi alle infrastrutture critiche in tutto il mondo, sollevando preoccupazioni circa lo spionaggio informatico a lungo termine e le operazioni distruttive. Secondo un recente avviso di Microsoft, questo gruppo non solo si sta infiltrando in sistemi di alto valore, ma si sta anche radicando profondamente per mantenere il controllo a lungo termine sulle reti compromesse.

Seashell Blizzard è un noto attore russo che minaccia la sicurezza

Seashell Blizzard, monitorato anche come APT44, BlackEnergy Lite, Sandworm, Telebots e Voodoo Bear, è una minaccia informatica significativa almeno dal 2009. Si ritiene che il gruppo operi sotto l'egida dell'agenzia di intelligence militare russa, la GRU (in particolare l'Unità 74455). Seashell Blizzard è noto per i suoi attacchi distruttivi, tra cui il famigerato ransomware NotPetya che ha paralizzato le aziende globali nel 2017 e il malware KillDisk che ha preso di mira i sistemi critici ucraini nel 2015.

Nel corso degli anni, Seashell Blizzard ha preso di mira settori infrastrutturali critici quali:

  • Energia
  • Fornitura di acqua
  • Istituzioni governative
  • Reti militari
  • Telecomunicazioni
  • Trasporti
  • Produzione

Questi attacchi non sono casuali, bensì strettamente correlati agli obiettivi militari russi, in particolare in Ucraina, dove la guerra informatica è una componente chiave della più ampia strategia di conflitto della Russia.

Un nuovo sottogruppo focalizzato sull'accesso persistente

L'ultimo rapporto di Microsoft evidenzia l'emergere di un sottogruppo all'interno di Seashell Blizzard che opera sottotraccia da almeno quattro anni. Questo sottogruppo è dedicato a una missione critica: ottenere l'accesso iniziale ai sistemi vulnerabili e stabilire una persistenza a lungo termine. Ciò consente agli hacker di mantenere il controllo sui sistemi compromessi per mesi o addirittura anni, pronti a lanciare attacchi dirompenti in qualsiasi momento.

Denominata campagna BadPilot , questa iniziativa è in corso dal 2021, concentrandosi sull'infiltrazione di obiettivi di alto valore per facilitare compromessi di rete più ampi. I metodi del sottogruppo sono descritti come furtivi e altamente opportunistici, basati su vulnerabilità in software ampiamente utilizzati e sistemi rivolti a Internet.

Sfruttamento delle vulnerabilità note

Gli aggressori sfruttano falle di sicurezza note nei sistemi più diffusi, tra cui:

  • Schermo ConnectWise (CVE-2024-1709)
  • Errore di EMS di Fortinet FortiClient (CVE-2023-48788)
  • Scambio di Microsoft (CVE-2021-34473)
  • Suite di collaborazione Zimbra (CVE-2022-41352)
  • Server di chat OpenFire (CVE-2023-32315)
  • Server di compilazione TeamCity (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • Server JBOSS (CVE non specificato)

Gli hacker adottano un approccio aggressivo "spray-and-pray", scansionando Internet alla ricerca di sistemi vulnerabili e attaccandoli in massa. Una volta all'interno, si inseriscono utilizzando strumenti come web shell e software Remote Monitoring and Management (RMM), assicurando il controllo a lungo termine sui sistemi compromessi.

Tecniche allarmanti utilizzate per mantenere il controllo

Una volta che un sistema è compromesso, il sottogruppo implementa molteplici tecniche di persistenza:

  • Implementazioni Web Shell: fornitura di accesso backdoor per il controllo remoto.
  • Strumenti RMM: consentono l'accesso discreto e l'ulteriore distribuzione del malware.
  • Raccolta di credenziali: modifica delle pagine di accesso OWA e delle impostazioni DNS per rubare le credenziali degli utenti.
  • Iniezione di JavaScript: aggiunta di codice dannoso ai portali di accesso per raccogliere nomi utente e password.

    • In molti casi, questo accesso persistente ha preceduto attacchi distruttivi, il che suggerisce che gli hacker mantengono una capacità a duplice scopo (spionaggio e sabotaggio) a seconda delle esigenze militari e geopolitiche russe.

    Espansione globale: USA e Regno Unito ora nel mirino

    Sebbene l'Ucraina sia stata il focus principale delle operazioni informatiche di Seashell Blizzard, il rapporto di Microsoft rivela che questo sottogruppo ha ampliato la sua portata nel 2023, prendendo di mira organizzazioni negli Stati Uniti e nel Regno Unito. L'espansione segnala un pericoloso cambiamento, suggerendo che il manuale di guerra informatica della Russia sta ampliando il suo raggio d'azione per includere le nazioni occidentali.

    Una minaccia persistente e crescente

    Microsoft avverte che questo sottogruppo non sta rallentando. In effetti, è probabile che continui a evolversi e a implementare tecniche innovative per infiltrarsi nelle reti in tutto il mondo. Con la guerra in corso della Russia in Ucraina e le crescenti tensioni geopolitiche, gli attacchi informatici contro le infrastrutture critiche potrebbero trasformarsi in devastanti conseguenze nel mondo reale.

    Proteggere la tua organizzazione da Seashell Blizzard

    Le organizzazioni nei settori critici devono adottare misure immediate per difendersi da questa minaccia persistente:

    • Correggere le vulnerabilità note: assicurarsi che i sistemi che eseguono ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire e altri software mirati siano completamente aggiornati.
    • Rafforzare la sicurezza della rete: implementare l'autenticazione a più fattori (MFA), limitare l'accesso ai sistemi sensibili e monitorare le attività insolite.
    • Monitoraggio della persistenza: eseguire audit di sicurezza regolari per rilevare web shell non autorizzate, strumenti RMM o modifiche alle pagine di accesso e alle configurazioni DNS.
    • Prontezza alla risposta agli incidenti: preparatevi a potenziali attacchi destabilizzanti sviluppando un piano di risposta completo e assicurandovi che i backup siano sicuri e regolarmente testati.

    Avvertimento finale

    Seashell Blizzard e il suo sottogruppo di accesso iniziale rappresentano un pericolo chiaro e presente per le infrastrutture critiche a livello globale. La loro incessante ricerca di un accesso persistente potrebbe fungere da precursore di un sabotaggio informatico su larga scala, in grado di interrompere reti energetiche, approvvigionamenti idrici, sistemi di trasporto e operazioni governative. Le ultime scoperte di Microsoft sono un duro promemoria: il prossimo importante attacco informatico potrebbe già essere in agguato all'interno di sistemi critici, in attesa del segnale per colpire.


    Caricamento in corso...