Чехия и Германия в пятницу показали, что они стали мишенью долгосрочной кампании кибершпионажа, проводимой связанным с Россией субъектом национального государства, известным как APT28, что вызвало осуждение со стороны Европейского союза (ЕС), Организации Североатлантического договора (НАТО), Великобритании и США.
Министерство иностранных дел Чешской Республики (МИД) в своем заявлении заявило, что некоторые неназванные организации в стране подверглись атаке с использованием уязвимости в системе безопасности Microsoft Outlook, которая обнаружилась в начале прошлого года.
"Кибератаки, направленные против политических организаций, государственных институтов и критически важной инфраструктуры, представляют собой не только угрозу национальной безопасности, но и нарушают демократические процессы, на которых основано наше свободное общество", - заявили в МИД.
Рассматриваемая уязвимость в системе безопасности - это CVE-2023-23397, исправленная ошибка повышения критических привилегий в Outlook, которая может позволить злоумышленнику получить доступ к хэшам Net-NTLMv2, а затем использовать их для аутентификации с помощью ретрансляционной атаки.
Федеральное правительство Германии (также известное как Bundesregierung) приписало субъекту угрозы кибератаку, направленную на Исполнительный комитет Социал-демократической партии, используя ту же уязвимость Outlook в течение "относительно длительного периода", что позволило ему "скомпрометировать многочисленные учетные записи электронной почты".
Некоторые отраслевые вертикали, на которые нацелена кампания, включают логистику, вооружение, авиационную и космическую промышленность, ИТ-услуги, фонды и ассоциации, расположенные в Германии, Украине и Европе, при этом Федеральное правительство также обвиняет группу в нападении на федеральный парламент Германии (Бундестаг) в 2015 году.
APT28, предположительно связанный с воинской частью 26165 управления военной разведки Российской Федерации ГРУ, также отслеживается более широким сообществом кибербезопасности под названиями BlueDelta, Fancy Bear, Forest Blizzard (ранее Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy и TA422.
В конце прошлого месяца Microsoft приписала группе хакеров использование компонента диспетчера очереди печати Microsoft Windows (CVE-2022-38028, оценка CVSS: 7,8) в качестве нулевого дня для доставки ранее неизвестного вредоносного ПО под названием GooseEgg для проникновения в украинские, западноевропейские и североамериканские правительственные, неправительственные организации, организации образования и транспортного сектора.
НАТО заявило, что гибридные действия России "представляют угрозу безопасности союзников". Совет Европейского союза также вмешался, заявив, что "вредоносная кибератака демонстрирует продолжающуюся модель безответственного поведения России в киберпространстве".
"Недавняя деятельность кибергруппы российского ГРУ APT28, включая нападение на руководителя Социал-демократической партии Германии, является последним проявлением известной модели поведения российских спецслужб по подрыву демократических процессов по всему миру", - заявило правительство Великобритании.
Государственный департамент США описал APT28 как известную компанию, занимающуюся "злонамеренным, гнусным, дестабилизирующим и подрывным поведением" и что она привержена "безопасности наших союзников и партнеров и поддержанию международного порядка, основанного на правилах, в том числе в киберпространстве".
Ранее в феврале этого года скоординированные действия правоохранительных органов нарушили работу ботнета, включающего сотни маршрутизаторов для небольших офисов и домашних служб (SOHO) в США и Германии, которые, как полагают, участники APT28 использовали для сокрытия своих вредоносных действий, таких как использование CVE-2023-23397 против представляющих интерес объектов.
Согласно отчету компании по кибербезопасности Trend Micro, опубликованному на этой неделе, сторонний криминальный прокси-ботнет был создан в 2016 году и состоит не только из маршрутизаторов Ubiquiti, но и других маршрутизаторов на базе Linux, Raspberry Pi и виртуальных частных серверов (VPS).
"Субъекту угрозы [стоящему за ботнетом] удалось перенести часть ботов EdgeRouter с сервера C & C [command-and-control], который был отключен 26 января 2024 года, на недавно созданную инфраструктуру C & C в начале февраля 2024 года", - заявила компания, добавив, что юридические ограничения и технические проблемы помешали тщательной очистке всех захваченных маршрутизаторов.
Согласно оценке, опубликованной дочерней компанией Google Cloud Mandiant на прошлой неделе, ожидается, что российская спонсируемая государством деятельность в области киберугроз - кража данных, деструктивные атаки, кампании DDoS и операции по оказанию влияния – также представляет серьезную угрозу для выборов в таких регионах, как США, Великобритания и ЕВРОСОЮЗ, со стороны нескольких групп, таких как APT44 (она же Sandworm), COLDRIVER, KillNet, APT29 и APT28.
"В 2016 году APT28, связанный с ГРУ, взломал цели организации Демократической партии США, а также личную учетную запись руководителя кампании кандидата в президенты от Демократической партии и организовал кампанию по утечке информации в преддверии президентских выборов в США в 2016 году", - сказали исследователи Келли Вандерли и Джейми Коллиер.
Более того, данные Cloudflare и NETSCOUT показывают всплеск DDoS-атак, нацеленных на Швецию, после ее принятия в Североатлантический союз, что отражает картину, наблюдавшуюся во время вступления Финляндии в НАТО в 2023 году.
"Вероятными виновниками этих атак были хакерские группы NoName057, Anonymous Sudan, Russian Cyber Army Team и KillNet", - сказал NETSCOUT. "Все эти группы политически мотивированы и поддерживают российские идеалы".
Правительственные агентства Канады, Великобритании и США опубликовали новый совместный информационный бюллетень, помогающий обезопасить организации критически важной инфраструктуры от продолжающихся атак, предпринимаемых явно пророссийскими хактивистами против промышленных систем управления (ICS) и систем малых операционных технологий (OT) с 2022 года.
"Пророссийская хактивистская деятельность, по-видимому, в основном ограничивается простыми техниками, которые манипулируют оборудованием ICS для создания неприятных эффектов", - заявили агентства. "Однако расследования показали, что эти субъекты способны использовать методы, которые представляют физическую угрозу для небезопасных и неправильно сконфигурированных сред OT".
Целями этих атак являются организации в секторах критической инфраструктуры Северной Америки и Европы, включая системы водоснабжения и водоотведения, плотины, энергетику, пищевую промышленность и сельское хозяйство.
Было замечено, что группы хактивистов получают удаленный доступ, используя общедоступные интернет-соединения, а также заводские пароли по умолчанию, связанные с человеко-машинными интерфейсами (HMI), распространенными в таких средах, с последующим изменением критически важных параметров, отключением механизмов сигнализации и блокировкой операторов путем изменения административных паролей.
Рекомендации по снижению угрозы включают усиление защиты человеко-машинных интерфейсов, ограничение доступа систем OT к Интернету, использование надежных и уникальных паролей и внедрение многофакторной аутентификации для всего доступа к сети OT.
"Эти хактивисты стремятся скомпрометировать модульные промышленные системы управления (ICS), доступные через Интернет, с помощью их программных компонентов, таких как человеко-машинные интерфейсы (HMI), используя программное обеспечение удаленного доступа к виртуальным сетевым вычислениям (VNC) и пароли по умолчанию", - говорится в сообщении.
Министерство иностранных дел Чешской Республики (МИД) в своем заявлении заявило, что некоторые неназванные организации в стране подверглись атаке с использованием уязвимости в системе безопасности Microsoft Outlook, которая обнаружилась в начале прошлого года.
"Кибератаки, направленные против политических организаций, государственных институтов и критически важной инфраструктуры, представляют собой не только угрозу национальной безопасности, но и нарушают демократические процессы, на которых основано наше свободное общество", - заявили в МИД.
Рассматриваемая уязвимость в системе безопасности - это CVE-2023-23397, исправленная ошибка повышения критических привилегий в Outlook, которая может позволить злоумышленнику получить доступ к хэшам Net-NTLMv2, а затем использовать их для аутентификации с помощью ретрансляционной атаки.
Федеральное правительство Германии (также известное как Bundesregierung) приписало субъекту угрозы кибератаку, направленную на Исполнительный комитет Социал-демократической партии, используя ту же уязвимость Outlook в течение "относительно длительного периода", что позволило ему "скомпрометировать многочисленные учетные записи электронной почты".
Некоторые отраслевые вертикали, на которые нацелена кампания, включают логистику, вооружение, авиационную и космическую промышленность, ИТ-услуги, фонды и ассоциации, расположенные в Германии, Украине и Европе, при этом Федеральное правительство также обвиняет группу в нападении на федеральный парламент Германии (Бундестаг) в 2015 году.
APT28, предположительно связанный с воинской частью 26165 управления военной разведки Российской Федерации ГРУ, также отслеживается более широким сообществом кибербезопасности под названиями BlueDelta, Fancy Bear, Forest Blizzard (ранее Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy и TA422.
В конце прошлого месяца Microsoft приписала группе хакеров использование компонента диспетчера очереди печати Microsoft Windows (CVE-2022-38028, оценка CVSS: 7,8) в качестве нулевого дня для доставки ранее неизвестного вредоносного ПО под названием GooseEgg для проникновения в украинские, западноевропейские и североамериканские правительственные, неправительственные организации, организации образования и транспортного сектора.
НАТО заявило, что гибридные действия России "представляют угрозу безопасности союзников". Совет Европейского союза также вмешался, заявив, что "вредоносная кибератака демонстрирует продолжающуюся модель безответственного поведения России в киберпространстве".
"Недавняя деятельность кибергруппы российского ГРУ APT28, включая нападение на руководителя Социал-демократической партии Германии, является последним проявлением известной модели поведения российских спецслужб по подрыву демократических процессов по всему миру", - заявило правительство Великобритании.
Государственный департамент США описал APT28 как известную компанию, занимающуюся "злонамеренным, гнусным, дестабилизирующим и подрывным поведением" и что она привержена "безопасности наших союзников и партнеров и поддержанию международного порядка, основанного на правилах, в том числе в киберпространстве".
Ранее в феврале этого года скоординированные действия правоохранительных органов нарушили работу ботнета, включающего сотни маршрутизаторов для небольших офисов и домашних служб (SOHO) в США и Германии, которые, как полагают, участники APT28 использовали для сокрытия своих вредоносных действий, таких как использование CVE-2023-23397 против представляющих интерес объектов.
Согласно отчету компании по кибербезопасности Trend Micro, опубликованному на этой неделе, сторонний криминальный прокси-ботнет был создан в 2016 году и состоит не только из маршрутизаторов Ubiquiti, но и других маршрутизаторов на базе Linux, Raspberry Pi и виртуальных частных серверов (VPS).
"Субъекту угрозы [стоящему за ботнетом] удалось перенести часть ботов EdgeRouter с сервера C & C [command-and-control], который был отключен 26 января 2024 года, на недавно созданную инфраструктуру C & C в начале февраля 2024 года", - заявила компания, добавив, что юридические ограничения и технические проблемы помешали тщательной очистке всех захваченных маршрутизаторов.
Согласно оценке, опубликованной дочерней компанией Google Cloud Mandiant на прошлой неделе, ожидается, что российская спонсируемая государством деятельность в области киберугроз - кража данных, деструктивные атаки, кампании DDoS и операции по оказанию влияния – также представляет серьезную угрозу для выборов в таких регионах, как США, Великобритания и ЕВРОСОЮЗ, со стороны нескольких групп, таких как APT44 (она же Sandworm), COLDRIVER, KillNet, APT29 и APT28.
"В 2016 году APT28, связанный с ГРУ, взломал цели организации Демократической партии США, а также личную учетную запись руководителя кампании кандидата в президенты от Демократической партии и организовал кампанию по утечке информации в преддверии президентских выборов в США в 2016 году", - сказали исследователи Келли Вандерли и Джейми Коллиер.
Более того, данные Cloudflare и NETSCOUT показывают всплеск DDoS-атак, нацеленных на Швецию, после ее принятия в Североатлантический союз, что отражает картину, наблюдавшуюся во время вступления Финляндии в НАТО в 2023 году.
"Вероятными виновниками этих атак были хакерские группы NoName057, Anonymous Sudan, Russian Cyber Army Team и KillNet", - сказал NETSCOUT. "Все эти группы политически мотивированы и поддерживают российские идеалы".
Правительственные агентства Канады, Великобритании и США опубликовали новый совместный информационный бюллетень, помогающий обезопасить организации критически важной инфраструктуры от продолжающихся атак, предпринимаемых явно пророссийскими хактивистами против промышленных систем управления (ICS) и систем малых операционных технологий (OT) с 2022 года.
"Пророссийская хактивистская деятельность, по-видимому, в основном ограничивается простыми техниками, которые манипулируют оборудованием ICS для создания неприятных эффектов", - заявили агентства. "Однако расследования показали, что эти субъекты способны использовать методы, которые представляют физическую угрозу для небезопасных и неправильно сконфигурированных сред OT".
Целями этих атак являются организации в секторах критической инфраструктуры Северной Америки и Европы, включая системы водоснабжения и водоотведения, плотины, энергетику, пищевую промышленность и сельское хозяйство.
Было замечено, что группы хактивистов получают удаленный доступ, используя общедоступные интернет-соединения, а также заводские пароли по умолчанию, связанные с человеко-машинными интерфейсами (HMI), распространенными в таких средах, с последующим изменением критически важных параметров, отключением механизмов сигнализации и блокировкой операторов путем изменения административных паролей.
Рекомендации по снижению угрозы включают усиление защиты человеко-машинных интерфейсов, ограничение доступа систем OT к Интернету, использование надежных и уникальных паролей и внедрение многофакторной аутентификации для всего доступа к сети OT.
"Эти хактивисты стремятся скомпрометировать модульные промышленные системы управления (ICS), доступные через Интернет, с помощью их программных компонентов, таких как человеко-машинные интерфейсы (HMI), используя программное обеспечение удаленного доступа к виртуальным сетевым вычислениям (VNC) и пароли по умолчанию", - говорится в сообщении.
