Ryska Seashell Blizzard Hackers bryter mot kritiska infrastrukturmål, varnar Microsoft

Med Mura år Datorsäkerhet

Översätt till:

En farlig hackningsgrupp med anknytning till Ryssland känd som Seashell Blizzard har intensifierat sina attacker mot kritisk infrastruktur över hela världen, vilket har gett upphov till oro för långsiktigt cyberspionage och destruktiv verksamhet. Enligt en nyligen varning från Microsoft infiltrerar denna grupp inte bara högvärdiga system utan bäddar också in sig själv på djupet för att behålla långsiktig kontroll över komprometterade nätverk.

Innehållsförteckning

Seashell Blizzard är en ökänd rysk skådespelare

Seashell Blizzard, även spårad som APT44, BlackEnergy Lite, Sandworm, Telebots och Voodoo Bear, har varit ett betydande cyberhot sedan åtminstone 2009. Gruppen anses allmänt verka under Rysslands militära underrättelsetjänst, GRU (specifikt enhet 74455). Seashell Blizzard är ökänt för sina destruktiva attacker, inklusive den ökända NotPetya ransomware som förlamade globala företag 2017 och KillDisk malware som riktade sig mot ukrainska kritiska system 2015.

Under åren har Seashell Blizzard riktat in sig på kritiska infrastruktursektorer som:

Energi
Vattenförsörjning
statliga institutioner
Militära nätverk
Telekommunikation
Transport
Tillverkning

Dessa attacker är inte slumpmässiga – de ligger nära ryska militära mål, särskilt i Ukraina, där cyberkrigföring har varit en nyckelkomponent i Rysslands bredare konfliktstrategi.

En ny undergrupp fokuserad på beständig åtkomst

Microsofts senaste rapport belyser uppkomsten av en undergrupp inom Seashell Blizzard som har funnits under radarn i minst fyra år. Denna undergrupp är dedikerad till ett kritiskt uppdrag: att få initial tillgång till sårbara system och etablera långsiktig uthållighet. Detta gör det möjligt för hackare att behålla kontrollen över komprometterade system i månader eller till och med år, redo att starta störande attacker när som helst.

Denna ansträngning, kallad BadPilot-kampanjen , har pågått sedan 2021, med fokus på att infiltrera värdefulla mål för att underlätta bredare nätverkskompromisser. Undergruppens metoder beskrivs som smygande och mycket opportunistiska och förlitar sig på sårbarheter i mycket använd mjukvara och internetanvända system.

Utnyttja kända sårbarheter

Angriparna utnyttjar välkända säkerhetsbrister i populära system, inklusive:

ConnectWise ScreenConnect (CVE-2024-1709)
Fortinet FortiClient EMS (CVE-2023-48788)
Microsoft Exchange (CVE-2021-34473)
Zimbra Collaboration Suite (CVE-2022-41352)
OpenFire Chat Server (CVE-2023-32315)
TeamCity Build Server (CVE-2023-42793)
Microsoft Outlook (CVE-2023-23397)
JBOSS-servrar (ospecificerad CVE)

Hackarna använder en aggressiv "spray-and-pray"-metod, genomsöker internet efter sårbara system och attackerar dem i massor. Väl inne bäddar de in sig själva med hjälp av verktyg som webbskal och programvara för fjärrövervakning och hantering (RMM), vilket säkerställer långsiktig kontroll över de komprometterade systemen.

Larmtekniker som används för att upprätthålla kontrollen

När ett system har äventyrats, använder undergruppen flera beständighetstekniker:

Web Shell-distributioner: Ger bakdörrsåtkomst för fjärrkontroll.
RMM-verktyg: Tillåter diskret åtkomst och ytterligare distribution av skadlig programvara.

Insamling av inloggningsuppgifter: Ändra OWA-inloggningssidor och DNS-inställningar för att stjäla användaruppgifter.

JavaScript-injektion: Lägger till skadlig kod till inloggningsportaler för att samla in användarnamn och lösenord.

I flera fall föregick denna ihållande åtkomst destruktiva attacker, vilket tyder på att hackarna upprätthåller en kapacitet med dubbla ändamål – spionage och sabotage – beroende på ryska militära och geopolitiska behov.

Global expansion: USA och Storbritannien nu i korset

Medan Ukraina har varit det primära fokus för Seashell Blizzards cyberverksamhet, avslöjar Microsofts rapport att denna undergrupp utökade sin räckvidd 2023 och riktade sig till organisationer i USA och Storbritannien. Expansionen signalerar en farlig förändring, vilket tyder på att Rysslands spelbok om cyberkrigföring vidgar sin räckvidd till att omfatta västerländska nationer.

Ett ihållande och eskalerande hot

Microsoft varnar för att denna undergrupp inte saktar ner. Faktum är att det sannolikt kommer att fortsätta att utvecklas och distribuera innovativa tekniker för att infiltrera nätverk över hela världen. Med Rysslands pågående krig i Ukraina och ökande geopolitiska spänningar kan cyberattacker mot kritisk infrastruktur eskalera till förödande verkliga konsekvenser.

Skydda din organisation mot Seashell Blizzard

Organisationer inom kritiska sektorer måste vidta omedelbara åtgärder för att försvara sig mot detta ihållande hot:

Patcha kända sårbarheter: Se till att system som kör ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire och annan riktad programvara är helt uppdaterade.
Stärka nätverkssäkerheten: Implementera multifaktorautentisering (MFA), begränsa åtkomsten till känsliga system och övervaka efter ovanlig aktivitet.
Övervaka för persistens: Genomför regelbundna säkerhetsrevisioner för att upptäcka obehöriga webbskal, RMM-verktyg eller modifieringar av inloggningssidor och DNS-konfigurationer.
Incident Response Readiness: Förbered dig på potentiella störande attacker genom att utveckla en omfattande responsplan och se till att säkerhetskopior är säkra och testas regelbundet.

Sista varning

Seashell Blizzard och dess initiala åtkomstundergrupp representerar en tydlig och aktuell fara för kritisk infrastruktur globalt. Deras obevekliga strävan efter ihållande tillgång skulle kunna fungera som en föregångare till storskaligt cybersabotage, som kan störa energinät, vattenförsörjning, transportsystem och statlig verksamhet. Microsofts senaste rön är en skarp påminnelse: Nästa stora cyberattack kan redan lurar inuti kritiska system och väntar på att signalen ska slå.

EnigmaSofts betalningsprocessor Digital River GmbH ansöker om konkurs påverkar inte SpyHunter-kundernas skydd mot skadlig programvara

Sök

Ändra region