Ruski hekerji Seashell Blizzard vdrli v cilje kritične infrastrukture, opozarja Microsoft

Nevarna hekerska skupina, povezana z Rusijo, znana kot Seashell Blizzard, je okrepila svoje napade na kritično infrastrukturo po vsem svetu, kar zbuja zaskrbljenost glede dolgoročnega kibernetskega vohunjenja in destruktivnih operacij. Po nedavnem Microsoftovem opozorilu ta skupina ne le vdira v sisteme visoke vrednosti, ampak se tudi globoko vgrajuje, da bi ohranila dolgoročni nadzor nad ogroženimi omrežji.

Seashell Blizzard je zloglasna ruska grožnja

Seashell Blizzard, ki ga spremljajo tudi kot APT44, BlackEnergy Lite, Sandworm, Telebots in Voodoo Bear, je pomembna kibernetska grožnja vsaj od leta 2009. Skupina naj bi delovala pod vodstvom ruske vojaške obveščevalne agencije GRU (natančneje enote 74455). Seashell Blizzard je znan po svojih uničujočih napadih, vključno z zloglasno izsiljevalsko programsko opremo NotPetya, ki je leta 2017 ohromila svetovna podjetja, in zlonamerno programsko opremo KillDisk , ki je leta 2015 ciljala na ukrajinske kritične sisteme.

Skozi leta je Seashell Blizzard ciljal na kritične infrastrukturne sektorje, kot so:

• energija
• Oskrba z vodo
• Državne institucije
• Vojaška omrežja
• Telekomunikacije
• Prevozništvo
• Proizvodnja

Ti napadi niso naključni – tesno so povezani z ruskimi vojaškimi cilji, zlasti v Ukrajini, kjer je kibernetsko vojskovanje ključna sestavina ruske širše konfliktne strategije.

Nova podskupina, osredotočena na trajni dostop

Zadnje Microsoftovo poročilo poudarja pojav podskupine znotraj Seashell Blizzard, ki deluje pod radarjem že vsaj štiri leta. Ta podskupina je namenjena eni kritični nalogi: pridobivanju začetnega dostopa do ranljivih sistemov in vzpostavitvi dolgoročne obstojnosti. To hekerjem omogoča, da mesece ali celo leta ohranijo nadzor nad ogroženimi sistemi in so pripravljeni na moteče napade v vsakem trenutku.

Ta prizadevanja, poimenovana BadPilot kampanja , potekajo od leta 2021 in se osredotočajo na infiltracijo ciljev visoke vrednosti, da bi olajšali širše omrežne kompromise. Metode podskupine so opisane kot prikrite in zelo oportunistične, ki se zanašajo na ranljivosti v široko uporabljeni programski opremi in sistemih, povezanih z internetom.

Izkoriščanje znanih ranljivosti

Napadalci izkoriščajo dobro znane varnostne napake v priljubljenih sistemih, vključno z:

• ConnectWise ScreenConnect (CVE-2024-1709)
• Fortinet FortiClient EMS (CVE-2023-48788)
• Microsoft Exchange (CVE-2021-34473)
• Zbirka za sodelovanje Zimbra (CVE-2022-41352)
• Klepetalni strežnik OpenFire (CVE-2023-32315)
• TeamCity Build Server (CVE-2023-42793)
• Microsoft Outlook (CVE-2023-23397)
• Strežniki JBOSS (nedoločen CVE)

Hekerji uporabljajo agresiven pristop »spray and pray«, skenirajo internet za ranljive sisteme in jih množično napadajo. Ko so notri, se vgradijo z orodji, kot so spletne lupine in programska oprema za oddaljeno spremljanje in upravljanje (RMM), kar zagotavlja dolgoročni nadzor nad ogroženimi sistemi.

Alarmne tehnike, ki se uporabljajo za ohranjanje nadzora

Ko je sistem ogrožen, podskupina uporabi več tehnik vztrajnosti:

• Razmestitve spletne lupine: Zagotavljanje stranskega dostopa za oddaljeni nadzor.
• Orodja RMM: Omogočajo prikrit dostop in nadaljnjo namestitev zlonamerne programske opreme.

V več primerih je ta vztrajni dostop sledil uničujočim napadom, kar kaže na to, da hekerji ohranjajo zmogljivost z dvojnim namenom – vohunjenje in sabotaža – glede na ruske vojaške in geopolitične potrebe.

Globalna širitev: ZDA in Združeno kraljestvo zdaj v križu

Medtem ko je bila Ukrajina glavni fokus kibernetskih operacij Seashell Blizzard, Microsoftovo poročilo razkriva, da je ta podskupina leta 2023 razširila svoj doseg in ciljala na organizacije v Združenih državah in Združenem kraljestvu. Širitev nakazuje nevaren premik, kar nakazuje, da ruski priročnik o kibernetskem vojskovanju širi svoj obseg na zahodne države.

Vztrajna in stopnjujoča se grožnja

Microsoft opozarja, da se ta podskupina ne upočasnjuje. Pravzaprav se bo verjetno še naprej razvijal in uvajal inovativne tehnike za infiltracijo v omrežja po vsem svetu. Z vojno Rusije v Ukrajini in naraščajočimi geopolitičnimi napetostmi bi lahko kibernetski napadi na kritično infrastrukturo prerasli v uničujoče posledice v resničnem svetu.

Zaščita vaše organizacije pred Seashell Blizzardom

Organizacije v kritičnih sektorjih morajo nemudoma ukrepati za obrambo pred to vztrajno grožnjo:

• Popravite znane ranljivosti: Zagotovite, da so sistemi, v katerih se izvajajo ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire in druga ciljna programska oprema, popolnoma posodobljeni.
• Okrepite omrežno varnost: uvedite večfaktorsko avtentikacijo (MFA), omejite dostop do občutljivih sistemov in spremljajte neobičajno dejavnost.
• Spremljajte vztrajnost: izvajajte redne varnostne revizije za odkrivanje nepooblaščenih spletnih lupin, orodij RMM ali sprememb prijavnih strani in konfiguracij DNS.
• Pripravljenost za odzivanje na incidente: Pripravite se na morebitne moteče napade tako, da razvijete celovit odzivni načrt in zagotovite, da so varnostne kopije varne in redno testirane.

Zadnje opozorilo

Seashell Blizzard in njegova začetna dostopna podskupina predstavljata jasno in trenutno nevarnost za kritično infrastrukturo po vsem svetu. Njihovo neusmiljeno prizadevanje za vztrajen dostop bi lahko služilo kot predhodnik obsežne kibernetske sabotaže, ki bi lahko motila energetska omrežja, oskrbo z vodo, transportne sisteme in vladne operacije. Najnovejše Microsoftove ugotovitve so oster opomin: naslednji večji kibernetski napad se lahko že skriva znotraj kritičnih sistemov in čaka na signal za napad.