Penggodam Blizzard Seashell Rusia Melanggar Sasaran Infrastruktur Kritikal, Microsoft Amaran
Kumpulan penggodaman berbahaya berkaitan Rusia yang dikenali sebagai Seashell Blizzard telah memperhebatkan serangannya ke atas infrastruktur kritikal di seluruh dunia, menimbulkan kebimbangan mengenai pengintipan siber jangka panjang dan operasi yang merosakkan. Menurut amaran terbaru daripada Microsoft, kumpulan ini bukan sahaja menyusup ke sistem bernilai tinggi tetapi juga membenamkan dirinya secara mendalam untuk mengekalkan kawalan jangka panjang ke atas rangkaian yang terjejas.
Isi kandungan
Seashell Blizzard ialah Pelakon Ancaman Rusia yang Terkenal
Seashell Blizzard, juga dijejaki sebagai APT44, BlackEnergy Lite, Sandworm, Telebots dan Voodoo Bear, telah menjadi ancaman siber yang ketara sejak sekurang-kurangnya 2009. Kumpulan itu dipercayai secara meluas beroperasi di bawah agensi perisikan tentera Rusia, GRU (khususnya Unit 74455). Seashell Blizzard terkenal dengan serangan yang merosakkannya, termasuk perisian tebusan NotPetya yang terkenal yang melumpuhkan perniagaan global pada 2017 dan perisian hasad KillDisk yang menyasarkan sistem kritikal Ukraine pada 2015.
Selama bertahun-tahun, Seashell Blizzard telah menyasarkan sektor infrastruktur kritikal seperti:
- Tenaga
- Bekalan Air
- Institusi Kerajaan
- Rangkaian Tentera
- Telekomunikasi
- Pengangkutan
- Pembuatan
Serangan ini bukan secara rawak – ia sejajar rapat dengan objektif ketenteraan Rusia, terutamanya di Ukraine, di mana peperangan siber telah menjadi komponen utama dalam strategi konflik Rusia yang lebih luas.
Subkumpulan Baharu yang Tertumpu pada Akses Berterusan
Laporan terbaru Microsoft menyerlahkan kemunculan subkumpulan dalam Seashell Blizzard yang telah beroperasi di bawah radar selama sekurang-kurangnya empat tahun. Subkumpulan ini didedikasikan untuk satu misi kritikal: mendapatkan akses awal kepada sistem yang terdedah dan mewujudkan kegigihan jangka panjang. Ini membolehkan penggodam mengekalkan kawalan ke atas sistem yang terjejas selama berbulan-bulan atau bahkan bertahun-tahun, bersedia untuk melancarkan serangan yang mengganggu pada bila-bila masa.
Digelar kempen BadPilot , usaha ini telah dijalankan sejak 2021, memfokuskan pada penyusupan sasaran bernilai tinggi untuk memudahkan kompromi rangkaian yang lebih luas. Kaedah subkumpulan digambarkan sebagai tersembunyi dan sangat oportunis, bergantung pada kelemahan dalam perisian yang digunakan secara meluas dan sistem yang menghadap ke Internet.
Memanfaatkan Kelemahan yang Diketahui
Penyerang mengeksploitasi kelemahan keselamatan yang terkenal dalam sistem popular, termasuk:
- ConnectWise ScreenConnect (CVE-2024-1709)
- Fortinet FortiClient EMS (CVE-2023-48788)
- Microsoft Exchange (CVE-2021-34473)
- Suite Kolaborasi Zimbra (CVE-2022-41352)
- Pelayan Sembang OpenFire (CVE-2023-32315)
- Pelayan Binaan TeamCity (CVE-2023-42793)
- Microsoft Outlook (CVE-2023-23397)
- Pelayan JBOSS (CVE Tidak Ditentukan)
Penggodam menggunakan pendekatan "semburan-dan-berdoa" yang agresif, mengimbas internet untuk sistem yang terdedah dan menyerang mereka secara beramai-ramai. Sebaik sahaja di dalam, mereka membenamkan diri mereka menggunakan alat seperti cangkerang web dan perisian Pemantauan dan Pengurusan Jauh (RMM), memastikan kawalan jangka panjang ke atas sistem yang terjejas.
Teknik Membimbangkan Digunakan untuk Mengekalkan Kawalan
Setelah sistem terjejas, subkumpulan itu menggunakan pelbagai teknik kegigihan:
- Web Shell Deployments: Menyediakan akses pintu belakang untuk alat kawalan jauh.
- Alat RMM: Membenarkan akses yang bijak dan penggunaan perisian hasad selanjutnya.
Dalam beberapa kes, akses berterusan ini mendahului serangan yang merosakkan, menunjukkan bahawa penggodam mengekalkan keupayaan dwi-tujuan - pengintipan dan sabotaj - bergantung kepada keperluan ketenteraan dan geopolitik Rusia.
Pengembangan Global: AS dan UK Kini dalam Crosshairs
Walaupun Ukraine telah menjadi tumpuan utama operasi siber Seashell Blizzard, laporan Microsoft mendedahkan bahawa subkumpulan ini meluaskan jangkauannya pada 2023, menyasarkan organisasi di Amerika Syarikat dan United Kingdom. Pengembangan itu menandakan peralihan berbahaya, menunjukkan bahawa buku permainan perang siber Rusia meluaskan skopnya untuk memasukkan negara-negara Barat.
Ancaman yang Berterusan dan Meningkat
Microsoft memberi amaran bahawa subkumpulan ini tidak perlahan. Malah, ia berkemungkinan akan terus berkembang dan menggunakan teknik inovatif untuk menyusup ke rangkaian di seluruh dunia. Dengan perang berterusan Rusia di Ukraine dan ketegangan geopolitik yang semakin meningkat, serangan siber terhadap infrastruktur kritikal boleh meningkat kepada akibat dunia nyata yang dahsyat.
Melindungi Organisasi Anda Terhadap Blizzard Kerang
Organisasi dalam sektor kritikal mesti mengambil tindakan segera untuk mempertahankan diri daripada ancaman berterusan ini:
- Tampalan Kerentanan Diketahui: Pastikan sistem yang menjalankan ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire dan perisian sasaran lain dikemas kini sepenuhnya.
- Kuatkan Keselamatan Rangkaian: Gunakan pengesahan berbilang faktor (MFA), hadkan akses kepada sistem sensitif dan pantau aktiviti luar biasa.
- Pantau Kegigihan: Jalankan audit keselamatan yang kerap untuk mengesan cangkerang web yang tidak dibenarkan, alat RMM atau pengubahsuaian pada halaman log masuk dan konfigurasi DNS.
- Kesediaan Tindak Balas Insiden: Bersedia untuk kemungkinan serangan yang mengganggu dengan membangunkan pelan tindak balas yang komprehensif dan memastikan sandaran selamat dan diuji secara berkala.
Amaran Akhir
Seashell Blizzard dan subkumpulan akses awalnya mewakili bahaya yang jelas dan sekarang kepada infrastruktur kritikal di seluruh dunia. Usaha berterusan mereka untuk mendapatkan akses berterusan boleh menjadi pelopor kepada sabotaj siber berskala besar, yang mampu mengganggu grid tenaga, bekalan air, sistem pengangkutan dan operasi kerajaan. Penemuan terbaru Microsoft adalah peringatan yang jelas: Serangan siber utama seterusnya mungkin sudah bersembunyi di dalam sistem kritikal, menunggu isyarat untuk menyerang.