Multi-License Discount Quote
Seguridad ng Computer Nilabag ng mga Russian Seashell Blizzard Hacker ang Mga...

Nilabag ng mga Russian Seashell Blizzard Hacker ang Mga Kritikal na Target sa Infrastruktura, Nagbabala ang Microsoft

Sa pamamagitan ng Mura sa Seguridad ng Computer
Isalin To:
Wikang Filipino

Ang isang mapanganib na grupo ng pag-hack na nauugnay sa Russia na kilala bilang Seashell Blizzard ay nagpatindi ng mga pag-atake nito sa mga kritikal na imprastraktura sa buong mundo, na nagpapataas ng mga alalahanin tungkol sa pangmatagalang cyber-espionage at mga mapanirang operasyon. Ayon sa isang kamakailang babala mula sa Microsoft, ang pangkat na ito ay hindi lamang nakakalusot sa mga high-value system kundi pati na rin sa malalim na pag-embed ng sarili nito upang mapanatili ang pangmatagalang kontrol sa mga nakompromisong network.

Ang Seashell Blizzard ay Isang Kilalang Russian Threat Actor

Ang Seashell Blizzard, na sinusubaybayan din bilang APT44, BlackEnergy Lite, Sandworm, Telebots, at Voodoo Bear, ay naging isang makabuluhang banta sa cyber mula noong hindi bababa sa 2009. Ang grupo ay malawak na pinaniniwalaan na nagpapatakbo sa ilalim ng military intelligence agency ng Russia, ang GRU (partikular na Unit 74455). Kilalang-kilala ang Seashell Blizzard sa mga mapanirang pag-atake nito, kabilang ang kasumpa-sumpa na NotPetya ransomware na nagpalumpong sa mga pandaigdigang negosyo noong 2017 at ang KillDisk malware na nag-target sa mga kritikal na sistema ng Ukrainian noong 2015.

Sa paglipas ng mga taon, tina-target ng Seashell Blizzard ang mga kritikal na sektor ng imprastraktura gaya ng:

  • Enerhiya
  • Supply ng Tubig
  • Mga Institusyon ng Pamahalaan
  • Mga Network ng Militar
  • Telekomunikasyon
  • Transportasyon
  • Paggawa

Ang mga pag-atake na ito ay hindi basta-basta – malapit ang mga ito sa mga layunin ng militar ng Russia, partikular sa Ukraine, kung saan ang cyber warfare ay naging pangunahing bahagi ng mas malawak na diskarte sa labanan ng Russia.

Isang Bagong Subgroup na Nakatuon sa Patuloy na Pag-access

Itinatampok ng pinakabagong ulat ng Microsoft ang paglitaw ng isang subgroup sa loob ng Seashell Blizzard na tumatakbo sa ilalim ng radar nang hindi bababa sa apat na taon. Ang subgroup na ito ay nakatuon sa isang kritikal na misyon: pagkakaroon ng paunang pag-access sa mga mahihinang sistema at pagtatatag ng pangmatagalang pagtitiyaga. Nagbibigay-daan ito sa mga hacker na mapanatili ang kontrol sa mga nakompromisong system sa loob ng ilang buwan o kahit na taon, na handang maglunsad ng mga nakakagambalang pag-atake anumang sandali.

Tinaguriang BadPilot campaign , ang pagsisikap na ito ay nagpapatuloy mula noong 2021, na tumutuon sa pagpasok sa mga target na may mataas na halaga upang mapadali ang mas malawak na mga kompromiso sa network. Ang mga pamamaraan ng subgroup ay inilalarawan bilang patago at lubos na mapagsamantala, umaasa sa mga kahinaan sa malawakang ginagamit na software at mga sistemang nakaharap sa internet.

Pagsasamantala sa Mga Kilalang Kahinaan

Pinagsasamantalahan ng mga umaatake ang mga kilalang bahid sa seguridad sa mga sikat na system, kabilang ang:

  • ConnectWise ScreenConnect (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Zimbra Collaboration Suite (CVE-2022-41352)
  • OpenFire Chat Server (CVE-2023-32315)
  • Server ng TeamCity Build (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • Mga JBOSS Server (Hindi Tinukoy na CVE)

Gumagamit ang mga hacker ng isang agresibong "spray-and-pray" na diskarte, pag-scan sa internet para sa mga mahihinang sistema at pag-atake sa kanila nang maramihan. Kapag nasa loob na sila, ini-embed nila ang kanilang mga sarili gamit ang mga tool tulad ng mga web shell at Remote Monitoring and Management (RMM) software, na tinitiyak ang pangmatagalang kontrol sa mga nakompromisong system.

Mga Nakakaalarmang Teknik na Ginamit para Mapanatili ang Kontrol

Kapag nakompromiso ang isang system, ang subgroup ay nagde-deploy ng maraming diskarte sa pagtitiyaga:

  • Mga Web Shell Deployment: Nagbibigay ng backdoor access para sa remote control.
  • RMM Tools: Nagbibigay-daan sa maingat na pag-access at karagdagang pag-deploy ng malware.
  • Pag-aani ng Kredensyal: Pagbabago sa mga pahina ng pag-log in sa OWA at mga setting ng DNS upang magnakaw ng mga kredensyal ng user.
  • JavaScript Injection: Pagdaragdag ng malisyosong code sa mga portal sa pag-login upang mangalap ng mga username at password.

    • Sa ilang mga kaso, ang patuloy na pag-access na ito ay nauna sa mga mapanirang pag-atake, na nagmumungkahi na ang mga hacker ay nagpapanatili ng isang dual-purpose na kakayahan - espionage at sabotage - depende sa Russian military at geopolitical na mga pangangailangan.

    Pandaigdigang Pagpapalawak: US at UK Ngayon sa Crosshairs

    Bagama't ang Ukraine ang pangunahing pinagtutuunan ng mga cyber operation ng Seashell Blizzard, ipinapakita ng ulat ng Microsoft na pinalawak ng subgroup na ito ang abot nito noong 2023, na nagta-target ng mga organisasyon sa United States at United Kingdom. Ang pagpapalawak ay nagpapahiwatig ng isang mapanganib na pagbabago, na nagmumungkahi na ang cyber warfare playbook ng Russia ay nagpapalawak ng saklaw nito upang isama ang mga bansang Kanluranin.

    Isang Patuloy at Lumalakas na Banta

    Nagbabala ang Microsoft na ang subgroup na ito ay hindi bumabagal. Sa katunayan, ito ay malamang na magpatuloy sa pag-unlad at pag-deploy ng mga makabagong diskarte upang makalusot sa mga network sa buong mundo. Sa patuloy na digmaan ng Russia sa Ukraine at tumataas na geopolitical na tensyon, ang mga cyberattack laban sa kritikal na imprastraktura ay maaaring lumaki sa mapangwasak na mga kahihinatnan sa totoong mundo.

    Pagprotekta sa Iyong Organisasyon Laban sa Seashell Blizzard

    Ang mga organisasyon sa mga kritikal na sektor ay dapat gumawa ng agarang aksyon upang ipagtanggol laban sa patuloy na banta na ito:

    • I-patch ang Mga Kilalang Vulnerabilities: Tiyaking ganap na na-update ang mga system na tumatakbo sa ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire, at iba pang naka-target na software.
    • Palakasin ang Network Security: I-deploy ang multi-factor authentication (MFA), higpitan ang access sa mga sensitibong system, at subaybayan ang hindi pangkaraniwang aktibidad.
    • Subaybayan para sa Pagtitiyaga: Magsagawa ng mga regular na pag-audit sa seguridad upang matukoy ang mga hindi awtorisadong web shell, mga tool sa RMM, o mga pagbabago sa mga pahina sa pag-log in at mga configuration ng DNS.
    • Kahandaan sa Pagtugon sa Insidente: Maghanda para sa mga potensyal na nakakagambalang pag-atake sa pamamagitan ng pagbuo ng isang komprehensibong plano sa pagtugon at pagtiyak na ang mga backup ay ligtas at regular na sinusuri.

    Pangwakas na Babala

    Ang Seashell Blizzard at ang paunang access subgroup nito ay kumakatawan sa isang malinaw at kasalukuyang panganib sa kritikal na imprastraktura sa buong mundo. Ang kanilang walang humpay na paghahangad ng patuloy na pag-access ay maaaring magsilbing pasimula sa malakihang cyber sabotage, na may kakayahang makagambala sa mga grids ng enerhiya, mga supply ng tubig, mga sistema ng transportasyon, at mga operasyon ng pamahalaan. Ang pinakabagong mga natuklasan ng Microsoft ay isang malinaw na paalala: Ang susunod na pangunahing cyberattack ay maaaring nakatago na sa loob ng mga kritikal na sistema, naghihintay para sa signal na hampasin.


    Naglo-load...