Kuota e zbritjes me shumë licencë
Siguria kompjuterike Hakerët rusë Seashell Blizzard shkelin objektivat kritike...

Hakerët rusë Seashell Blizzard shkelin objektivat kritike të infrastrukturës, paralajmëron Microsoft

Nga MuraSiguria kompjuterike
Përkthe në:
Shqip

Një grup i rrezikshëm hakerimi i lidhur me Rusinë i njohur si Seashell Blizzard ka intensifikuar sulmet e tij ndaj infrastrukturës kritike në mbarë botën, duke ngritur shqetësime për spiunazhin kibernetik afatgjatë dhe operacionet shkatërruese. Sipas një paralajmërimi të fundit nga Microsoft, ky grup jo vetëm që po depërton në sisteme me vlerë të lartë, por gjithashtu po futet thellë për të mbajtur kontrollin afatgjatë mbi rrjetet e komprometuara.

Seashell Blizzard është një aktor famëkeq rus i kërcënimeve

Seashell Blizzard, i gjurmuar gjithashtu si APT44, BlackEnergy Lite, Sandworm, Telebots dhe Voodoo Bear, ka qenë një kërcënim i rëndësishëm kibernetik që të paktën nga viti 2009. Grupi besohet gjerësisht se operon nën agjencinë e inteligjencës ushtarake të Rusisë, GRU (veçanërisht Njësia 74455). Seashell Blizzard është i famshëm për sulmet e tij shkatërruese, duke përfshirë ransomware-in famëkeq NotPetya që gjymtoi bizneset globale në 2017 dhe malware-in KillDisk që synoi sistemet kritike të Ukrainës në 2015.

Gjatë viteve, Seashell Blizzard ka synuar sektorë kritikë të infrastrukturës si:

  • Energjisë
  • Furnizimi me ujë
  • Institucionet qeveritare
  • Rrjetet Ushtarake
  • Telekomunikacioni
  • Transporti
  • Prodhimtaria

Këto sulme nuk janë të rastësishme – ato përputhen ngushtë me objektivat ushtarake ruse, veçanërisht në Ukrainë, ku lufta kibernetike ka qenë një komponent kyç i strategjisë më të gjerë të konfliktit të Rusisë.

Një nëngrup i ri i fokusuar në aksesin e vazhdueshëm

Raporti i fundit i Microsoft thekson shfaqjen e një nëngrupi brenda Seashell Blizzard që ka funksionuar nën radar për të paktën katër vjet. Ky nëngrup është i përkushtuar për një mision kritik: fitimin e aksesit fillestar në sistemet e cenueshme dhe vendosjen e qëndrueshmërisë afatgjatë. Kjo u mundëson hakerëve të mbajnë kontrollin mbi sistemet e komprometuara për muaj apo edhe vite, të gatshëm për të nisur sulme përçarëse në çdo moment.

E quajtur fushata BadPilot , kjo përpjekje ka vazhduar që nga viti 2021, duke u fokusuar në infiltrimin e objektivave me vlerë të lartë për të lehtësuar kompromiset më të gjera të rrjetit. Metodat e nëngrupit përshkruhen si të fshehta dhe shumë oportuniste, duke u mbështetur në dobësitë në softuerët e përdorur gjerësisht dhe sistemet që përballen me internetin.

Shfrytëzimi i dobësive të njohura

Sulmuesit janë duke shfrytëzuar të metat e njohura të sigurisë në sistemet e njohura, duke përfshirë:

  • ConnectWise ScreenConnect (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Zimbra Collaboration Suite (CVE-2022-41352)
  • Serveri i bisedës OpenFire (CVE-2023-32315)
  • Serveri i ndërtimit të TeamCity (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • Serverat JBOSS (CVE e paspecifikuar)

Hakerët përdorin një qasje agresive “spërkas-dhe-lutu”, duke skanuar internetin për sisteme të cenueshme dhe duke i sulmuar ato në masë. Pasi brenda, ata futen duke përdorur mjete si predhat e uebit dhe softuerin e monitorimit dhe menaxhimit në distancë (RMM), duke siguruar kontroll afatgjatë mbi sistemet e komprometuara.

Teknika alarmuese të përdorura për të mbajtur kontrollin

Pasi një sistem komprometohet, nëngrupi vendos teknika të shumta të qëndrueshmërisë:

  • Vendosjet e Web Shell: Sigurimi i aksesit në prapavijë për telekomandë.
  • Mjetet RMM: Lejimi i qasjes diskrete dhe vendosjes së mëtejshme të malware.
  • Korrja e kredencialeve: Modifikimi i faqeve të hyrjes në OWA dhe cilësimeve të DNS për të vjedhur kredencialet e përdoruesit.
  • Injeksion JavaScript: Shtimi i kodit me qëllim të keq në portalet e hyrjes për të mbledhur emrat e përdoruesve dhe fjalëkalimet.

    • Në disa raste, kjo qasje e vazhdueshme i parapriu sulmeve shkatërruese, duke sugjeruar që hakerët të mbajnë një aftësi me qëllime të dyfishta – spiunazh dhe sabotim – në varësi të nevojave ushtarake dhe gjeopolitike ruse.

    Zgjerimi global: SHBA dhe Britania e Madhe tani në pikëpyetje

    Ndërsa Ukraina ka qenë fokusi kryesor i operacioneve kibernetike të Seashell Blizzard, raporti i Microsoft zbulon se ky nëngrup e zgjeroi shtrirjen e tij në vitin 2023, duke synuar organizata në Shtetet e Bashkuara dhe Mbretërinë e Bashkuar. Zgjerimi sinjalizon një ndryshim të rrezikshëm, duke sugjeruar se libri i luftës kibernetike i Rusisë po zgjeron fushën e tij për të përfshirë vendet perëndimore.

    Një kërcënim i vazhdueshëm dhe në rritje

    Microsoft paralajmëron se ky nëngrup nuk po ngadalësohet. Në fakt, ka të ngjarë të vazhdojë të zhvillohet dhe të vendosë teknika inovative për të infiltruar rrjetet në të gjithë globin. Me luftën e vazhdueshme të Rusisë në Ukrainë dhe rritjen e tensioneve gjeopolitike, sulmet kibernetike kundër infrastrukturës kritike mund të përshkallëzohen në pasoja shkatërruese në botën reale.

    Mbrojtja e organizatës suaj kundër prapambetjes së guaskës

    Organizatat në sektorë kritikë duhet të ndërmarrin veprime të menjëhershme për t'u mbrojtur kundër këtij kërcënimi të vazhdueshëm:

    • Rregulloni dobësitë e njohura: Sigurohuni që sistemet që ekzekutojnë ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire dhe programe të tjera të synuara janë përditësuar plotësisht.
    • Forconi sigurinë e rrjetit: Vendosni vërtetimin me shumë faktorë (MFA), kufizoni aksesin në sisteme të ndjeshme dhe monitoroni për aktivitete të pazakonta.
    • Monitor për qëndrueshmëri: Kryeni kontrolle të rregullta sigurie për të zbuluar predha të paautorizuara të uebit, mjete RMM ose modifikime në faqet e hyrjes dhe konfigurimet DNS.
    • Gatishmëria për reagim ndaj incidentit: Përgatituni për sulme të mundshme përçarëse duke zhvilluar një plan gjithëpërfshirës reagimi dhe duke u siguruar që kopjet rezervë të jenë të sigurta dhe të testuara rregullisht.

    Paralajmërimi përfundimtar

    Seashell Blizzard dhe nëngrupi i tij fillestar i aksesit përfaqësojnë një rrezik të qartë dhe të pranishëm për infrastrukturën kritike globalisht. Ndjekja e tyre e pamëshirshme për akses të vazhdueshëm mund të shërbejë si një pararendës i sabotimit kibernetik në shkallë të gjerë, i aftë për të ndërprerë rrjetet e energjisë, furnizimet me ujë, sistemet e transportit dhe operacionet e qeverisë. Gjetjet e fundit të Microsoft-it janë një kujtesë e fortë: Sulmi tjetër i madh kibernetik tashmë mund të fshihet brenda sistemeve kritike, duke pritur që sinjali të godasë.


    Po ngarkohet...