Microsoft попереджає, що російські хакери Seashell Blizzard зламали критично важливу інфраструктуру

Небезпечна хакерська група, пов’язана з Росією, відома як Seashell Blizzard, посилила свої атаки на критичну інфраструктуру по всьому світу, викликаючи занепокоєння щодо тривалого кібершпигунства та руйнівних операцій. Згідно з нещодавнім попередженням від Microsoft, ця група не тільки проникає в важливі системи, але й глибоко вбудовується, щоб підтримувати довгостроковий контроль над скомпрометованими мережами.

Seashell Blizzard — відомий російський загрозливий актор

Seashell Blizzard, яку також відстежують як APT44, BlackEnergy Lite, Sandworm, Telebots і Voodoo Bear, є значною кіберзагрозою принаймні з 2009 року. Вважається, що ця група діє під керівництвом російської військової розвідки ГРУ (зокрема підрозділу 74455). Seashell Blizzard сумно відома своїми деструктивними атаками, включаючи сумнозвісне програмне забезпечення-вимагач NotPetya, яке завдало шкоди світовим компаніям у 2017 році, і зловмисне програмне забезпечення KillDisk , націлене на українські критично важливі системи у 2015 році.

Протягом багатьох років Seashell Blizzard націлювався на критичні сектори інфраструктури, такі як:

• Енергія
• Водопостачання
• Державні установи
• Військові мережі
• Телекомунікації
• Транспорт
• Виробництво

Ці атаки не є випадковими – вони тісно пов’язані з російськими військовими цілями, зокрема в Україні, де кібервійна була ключовим компонентом ширшої стратегії конфлікту Росії.

Нова підгрупа, орієнтована на постійний доступ

В останньому звіті Microsoft наголошується на появі підгрупи Seashell Blizzard, яка діяла поза увагою принаймні чотири роки. Ця підгрупа присвячена одній критичній місії: отриманню початкового доступу до вразливих систем і встановленню довгострокової стійкості. Це дозволяє хакерам зберігати контроль над скомпрометованими системами протягом місяців або навіть років, готових здійснити підривні атаки в будь-який момент.

Ці зусилля, які називаються кампанією BadPilot , тривають з 2021 року, зосереджуючись на проникненні в цільові об’єкти високої вартості, щоб сприяти ширшим мережевим компромісам. Методи підгрупи описуються як приховані та дуже кон’юнктурні, що покладаються на вразливості в широко використовуваному програмному забезпеченні та системах, що виходять в Інтернет.

Використання відомих вразливостей

Зловмисники використовують добре відомі недоліки безпеки в популярних системах, зокрема:

• ConnectWise ScreenConnect (CVE-2024-1709)
• Fortinet FortiClient EMS (CVE-2023-48788)
• Microsoft Exchange (CVE-2021-34473)
• Набір для співпраці Zimbra (CVE-2022-41352)
• Сервер чату OpenFire (CVE-2023-32315)
• Сервер збірки TeamCity (CVE-2023-42793)
• Microsoft Outlook (CVE-2023-23397)
• Сервери JBOSS (невизначений CVE)

Хакери використовують агресивний підхід «розпилюй і молись», скануючи Інтернет на наявність вразливих систем і масово атакуючи їх. Опинившись усередині, вони вбудовуються за допомогою таких інструментів, як веб-оболонки та програмне забезпечення віддаленого моніторингу та керування (RMM), забезпечуючи довгостроковий контроль над скомпрометованими системами.

Методи тривоги, що використовуються для підтримки контролю

Коли систему зламано, підгрупа розгортає кілька методів стійкості:

• Розгортання Web Shell: Надання бекдор-доступу для віддаленого керування.
• Інструменти RMM: Дозволяють прихований доступ і подальше розгортання зловмисного програмного забезпечення.

У кількох випадках цей постійний доступ передував руйнівним атакам, що свідчить про те, що хакери зберігають можливості подвійного призначення – шпигунство та диверсію – залежно від військових і геополітичних потреб Росії.

Глобальна експансія: США та Великобританія зараз під прицілом

У той час як Україна була основним фокусом кібероперацій Seashell Blizzard, звіт Microsoft показує, що ця підгрупа розширила свій охоплення в 2023 році, націлившись на організації в Сполучених Штатах і Великобританії. Розширення сигналізує про небезпечну зміну, припускаючи, що російська методика кібервійни розширює сферу охоплення західних країн.

Постійна та зростаюча загроза

Microsoft попереджає, що ця підгрупа не гальмує. Насправді, ймовірно, він продовжить розвиватися та розгортати інноваційні методи проникнення в мережі по всьому світу. Через триваючу війну Росії в Україні та зростання геополітичної напруженості кібератаки на критично важливу інфраструктуру можуть перерости в руйнівні реальні наслідки.

Захист вашої організації від Seashell Blizzard

Організації в критичних секторах повинні вжити негайних заходів для захисту від цієї постійної загрози:

• Виправлення відомих уразливостей: переконайтеся, що системи, на яких запущено ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire та інше цільове програмне забезпечення, повністю оновлені.
• Посилення безпеки мережі: розгорніть багатофакторну автентифікацію (MFA), обмежте доступ до конфіденційних систем і стежте за незвичайною активністю.
• Відстежуйте стійкість: проводите регулярні перевірки безпеки, щоб виявити несанкціоновані веб-оболонки, інструменти RMM або зміни сторінок входу та конфігурацій DNS.
• Готовність до реагування на інциденти: підготуйтеся до потенційних руйнівних атак, розробивши комплексний план реагування та забезпечивши безпеку та регулярне тестування резервних копій.

Останнє попередження

Seashell Blizzard та її початкова підгрупа доступу представляють явну та реальну небезпеку для критичної інфраструктури в усьому світі. Їх невпинна гонитва за постійним доступом може послужити передвісником широкомасштабного кібердиверсії, здатного порушити енергетичні мережі, водопостачання, транспортні системи та урядові операції. Останні висновки Microsoft є суворим нагадуванням: наступна велика кібератака вже може причаїтися всередині критично важливих систем, чекаючи сигналу для удару.