Rusijos „Seashell Blizzard“ įsilaužėliai pažeidžia svarbius infrastruktūros tikslus, įspėja „Microsoft“.

Pavojinga su Rusija susijusi programišių grupė, žinoma kaip „Seashell Blizzard“, suintensyvino savo atakas prieš kritinę infrastruktūrą visame pasaulyje, sukeldama susirūpinimą dėl ilgalaikio kibernetinio šnipinėjimo ir destruktyvių operacijų. Remiantis naujausiu „Microsoft“ įspėjimu, ši grupė ne tik įsiskverbia į didelės vertės sistemas, bet ir giliai įsitvirtina, kad išlaikytų ilgalaikę pažeistų tinklų kontrolę.

„Seashell Blizzard“ yra liūdnai pagarsėjęs Rusijos grėsmių aktorius

„Seashell Blizzard“, taip pat sekama kaip APT44, „BlackEnergy Lite“, „Sandworm“, „Telebots“ ir „Voodoo Bear“, yra didelė kibernetinė grėsmė mažiausiai nuo 2009 m. Manoma, kad ši grupė veikia vadovaujama Rusijos karinės žvalgybos agentūros GRU (konkrečiai – 74455 padaliniui). „Seashell Blizzard“ garsėja savo destruktyviomis atakomis, įskaitant liūdnai pagarsėjusią „NotPetya“ išpirkos programą, kuri 2017 m. sužlugdė pasaulines įmones, ir kenkėjišką programą „KillDisk“ , kuri 2015 m. buvo nukreipta į Ukrainos svarbias sistemas.

Bėgant metams „Seashell Blizzard“ orientavosi į tokius ypatingos svarbos infrastruktūros sektorius kaip:

• Energija
• Vandens tiekimas
• Vyriausybės institucijos
• Kariniai tinklai
• Telekomunikacijos
• Transportas
• Gamyba

Šios atakos nėra atsitiktinės – jos glaudžiai atitinka Rusijos karinius tikslus, ypač Ukrainoje, kur kibernetinis karas buvo pagrindinė platesnės Rusijos konfliktų strategijos sudedamoji dalis.

Naujas pogrupis, orientuotas į nuolatinę prieigą

Naujausioje „Microsoft“ ataskaitoje pabrėžiamas „Seashell Blizzard“ pogrupio atsiradimas, kuris veikė mažiausiai ketverius metus. Šis pogrupis skirtas vienai svarbiai misijai: gauti pradinę prieigą prie pažeidžiamų sistemų ir sukurti ilgalaikį atkaklumą. Tai leidžia įsilaužėliams išlaikyti sukompromituotų sistemų kontrolę mėnesius ar net metus ir bet kurią akimirką pradėti trikdančias atakas.

Šios pastangos, pavadintos BadPilot kampanija , tęsiamos nuo 2021 m., daugiausia dėmesio skiriant didelės vertės taikinių įsiskverbimui, siekiant palengvinti platesnius tinklo kompromisus. Pogrupio metodai apibūdinami kaip slapti ir labai oportunistiniai, pagrįsti plačiai naudojamos programinės įrangos ir į internetą nukreiptų sistemų pažeidžiamumu.

Žinomų pažeidžiamumų išnaudojimas

Užpuolikai naudojasi gerai žinomais populiarių sistemų saugumo trūkumais, įskaitant:

• „ConnectWise ScreenConnect“ (CVE-2024-1709)
• Fortinet FortiClient EMS (CVE-2023-48788)
• „Microsoft Exchange“ (CVE-2021-34473)
• „Zimbra Collaboration Suite“ (CVE-2022-41352)
• „OpenFire“ pokalbių serveris (CVE-2023-32315)
• „TeamCity Build Server“ (CVE-2023-42793)
• „Microsoft Outlook“ (CVE-2023-23397)
• JBOSS serveriai (nenurodyta CVE)

Įsilaužėliai taiko agresyvų „puršk ir melskis“ metodą, ieško internete pažeidžiamų sistemų ir masiškai jas atakuoja. Patekę į vidų, jie įterpia save naudodami tokius įrankius kaip žiniatinklio apvalkalai ir nuotolinio stebėjimo ir valdymo (RMM) programinė įranga, užtikrindami ilgalaikę pažeistų sistemų kontrolę.

Signalizacijos metodai, naudojami kontrolei palaikyti

Kai sistema yra pažeista, pogrupis diegia kelis atkaklumo metodus:

• Žiniatinklio apvalkalo diegimas: nuotolinio valdymo prieigos užpakalinių durų suteikimas.
• RMM įrankiai: leidžia diskretiškai pasiekti ir toliau diegti kenkėjiškas programas.

Kai kuriais atvejais ši nuolatinė prieiga buvo prieš destruktyvias atakas, o tai rodo, kad įsilaužėliai, priklausomai nuo Rusijos karinių ir geopolitinių poreikių, turi dvejopo tikslo – šnipinėjimo ir sabotažo – pajėgumą.

Pasaulinė plėtra: JAV ir JK dabar kryžkelėje

Nors „Seashell Blizzard“ kibernetinių operacijų pagrindinis dėmesys buvo skiriamas Ukrainai, „Microsoft“ ataskaita atskleidžia, kad 2023 m. šis pogrupis išplėtė savo aprėptį, taikydamas Jungtinių Valstijų ir Jungtinės Karalystės organizacijas. Išsiplėtimas rodo pavojingą poslinkį, o tai rodo, kad Rusijos kibernetinio karo planas plečia savo taikymo sritį, įtraukiant Vakarų šalis.

Nuolatinė ir didėjanti grėsmė

„Microsoft“ perspėja, kad šis pogrupis nelėtėja. Tiesą sakant, tikėtina, kad ji toliau vystysis ir diegs naujoviškus metodus, kad įsiskverbtų į tinklus visame pasaulyje. Rusijai vykstant karui Ukrainoje ir didėjant geopolitinei įtampai, kibernetinės atakos prieš svarbiausią infrastruktūrą gali peraugti į pražūtingas pasekmes realiame pasaulyje.

Apsaugokite savo organizaciją nuo jūros kriauklių pūgos

Svarbių sektorių organizacijos turi nedelsdamos imtis veiksmų, kad apsisaugotų nuo šios nuolatinės grėsmės:

• Pataisykite žinomus pažeidžiamumus: įsitikinkite, kad sistemos, kuriose veikia ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire ir kita tikslinė programinė įranga, yra visiškai atnaujintos.
• Stiprinkite tinklo saugumą: įdiekite kelių veiksnių autentifikavimą (MFA), apribokite prieigą prie jautrių sistemų ir stebėkite neįprastą veiklą.
• Stebėkite patvarumą: reguliariai atlikite saugos auditą, kad aptiktumėte neteisėtus žiniatinklio apvalkalus, RMM įrankius arba prisijungimo puslapių ir DNS konfigūracijų pakeitimus.
• Pasirengimas reaguoti į incidentus: Pasiruoškite galimiems trikdantiems išpuoliams, sukurdami išsamų reagavimo planą ir užtikrindami, kad atsarginės kopijos būtų saugios ir reguliariai tikrinamos.

Paskutinis įspėjimas

„Seashell Blizzard“ ir jos pradinis prieigos pogrupis kelia aiškų ir esamą pavojų kritinei infrastruktūrai visame pasaulyje. Jų nenuilstamas nuolatinės prieigos siekis galėtų būti didelio masto kibernetinio sabotažo pirmtakas, galintis sutrikdyti energijos tinklus, vandens tiekimą, transporto sistemas ir vyriausybės operacijas. Naujausios „Microsoft“ išvados yra ryškus priminimas: kita didelė kibernetinė ataka jau gali slypėti svarbiausiose sistemose ir laukti signalo.