Μια ρωσική κρατική εκστρατεία CyberEspionage που αποδίδεται στην APT28 (Fancy Bear/Forest Blizzard) χάκερ έχει στοχεύσει και να θέσει σε κίνδυνο τους διεθνείς οργανισμούς από το 2022 για να διαταράξουν τις προσπάθειες βοήθειας στην Ουκρανία.
Οι χάκερ στόχευαν οντότητες στην υπεράσπιση, τις μεταφορές, τις υπηρεσίες πληροφορικής, την εναέρια κυκλοφορία και τους θαλάσσιους τομείς σε 12 ευρωπαϊκές χώρες και τις Ηνωμένες Πολιτείες.
Επιπλέον, οι χάκερ παρακολούθησαν την κίνηση των υλικών στην Ουκρανία, συμβιβάζοντας την πρόσβαση σε ιδιωτικές κάμερες που εγκαθίστανται σε βασικές τοποθεσίες (π.χ. διασταυρώσεις των συνόρων, στρατιωτικές εγκαταστάσεις, σιδηροδρομικούς σταθμούς).
Μια κοινή συμβουλευτική από 21 υπηρεσίες πληροφοριών και ασφάλειας στον κυβερνοχώρο σε περίπου δώδεκα χώρες μοιράζονται τις τακτικές, τις τεχνικές και τις διαδικασίες που χρησιμοποιείται στις επιθέσεις APT28 (η ρωσική GRU 85η GTSSS, στρατιωτική μονάδα 26165).
Ανάμειξη TTPs για μυστικές εισβολές
Η έκθεση επισημαίνει ότι από το 2022, ο ρωσικός ηθοποιός απειλής APT28 έχει χρησιμοποιήσει τακτικές όπως ο ψεκασμός κωδικών πρόσβασης, το spear-phishing και το Microsoft Exchange argerability εκμεταλλεύονται σε συμβιβασμούς οργανισμούς.
Μετά από να διακυβεύσει τον κύριο στόχο, οι χάκερ επιτέθηκαν σε άλλες οντότητες στον τομέα των μεταφορών με επιχειρηματικούς δεσμούς με το κύριο θύμα, “εκμεταλλευόμενοι τις σχέσεις εμπιστοσύνης για να προσπαθήσουν να αποκτήσουν πρόσθετη πρόσβαση”.
Επιπλέον, το APT28 έχει επίσης θέσει σε κίνδυνο τις κάμερες που συνδέονται με το Διαδίκτυο στις ουκρανικές συνοριακές διασταυρώσεις για την παρακολούθηση των αποστολών βοήθειας.
Οι στοχευμένες οργανώσεις βρίσκονται στις Ηνωμένες Πολιτείες, τη Βουλγαρία, την Τσεχία, τη Γαλλία, τη Γερμανία, την Ελλάδα, την Ιταλία, τη Μολδαβία, τις Κάτω Χώρες, την Πολωνία, τη Ρουμανία, τη Σλοβακία και την Ουκρανία.
Σύμφωνα με το έκθεσηοι χάκερ κέρδισαν αρχική πρόσβαση χρησιμοποιώντας πολλαπλές τεχνικές, μεταξύ τους:
- Πιστοποιητική εικασία ή βίαιη δύναμη
- Ψαρέματα για διαπιστευτήρια
- Spear-phishing για την παράδοση κακόβουλου λογισμικού
- Αξιοποιώντας την ευπάθεια του Outlook NTLM CVE-2023-23397
- Αξιοποίηση τρωτών σημείων (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026) Στο λογισμικό Webmail του Open-Source RoundCube
- Εκμετάλλευση της υποδομής που βλέπει στο Διαδίκτυο, τα εταιρικά VPN περιλάμβαναν, μέσω δημόσιων τρωτών σημείων και SQL ένεση
- Εκμεταλλευόμενος την ευπάθεια του WinRar CVE-2023-38831
Για να αποκρύψουν την προέλευση της επίθεσης, το APT28 διέφυγε την επικοινωνία τους μέσω συμβιβασμένων συσκευών μικρών γραφείων/γραφείων που βρίσκονταν κοντά στον στόχο.
Μόλις βρεθεί στο δίκτυο των θυμάτων, οι χάκερ έτρεξαν αναγνώριση εσωτερικών επαφών (στην ασφάλεια στον κυβερνοχώρο, στον συντονισμό των μεταφορών και στις εταιρείες εταίρων) για τον εντοπισμό πρόσθετων στόχων.
Για την πλευρική κίνηση και την εξαγωγή δεδομένων χρησιμοποιήθηκαν, οι εγγενείς εντολές και τα εργαλεία ανοιχτού κώδικα, όπως το PSEXEC, το Impacket, το Remote Desktop Protocol, το Certipy και το Adexplorer για την εξάλειψη των πληροφοριών της υπηρεσίας καταλόγου Active Directory.
Βρίσκονται επίσης και εξαντλημένες λίστες των χρηστών του Office 365 για τη συλλογή μηνυμάτων ηλεκτρονικού ταχυδρομείου. Μετά την πρόσβαση σε έναν λογαριασμό ηλεκτρονικού ταχυδρομείου, το APT28 θα “εγγραφεί σε συμβιβασμένους λογαριασμούς σε μηχανισμούς MFA για να αυξήσει το επίπεδο εμπιστοσύνης των συμβιβασμένων λογαριασμών και να επιτρέψει τη συνεχή πρόσβαση”.
Ένα βήμα μετά την απόκτηση της αρχικής πρόσβασης ήταν να hack σε λογαριασμούς με πρόσβαση σε ευαίσθητες πληροφορίες σχετικά με τις αποστολές βοήθειας στην Ουκρανία, οι οποίες περιελάμβαναν τον αποστολέα και τον παραλήπτη, το περιεχόμενο φορτίου, τις διαδρομές ταξιδιού, τους αριθμούς εγγραφής εμπορευματοκιβωτίων και τον προορισμό.
Μεταξύ του κακόβουλου λογισμικού που χρησιμοποιήθηκε κατά τη διάρκεια της εκστρατείας, οι ερευνητές παρακολούθησαν το Headlace και το Masepie Backdoors.
Οι χάκερ χρησιμοποίησαν πολλαπλές μεθόδους για να εξουδετερώσουν τα δεδομένα, την επιλογή του καθενός ανάλογα με το περιβάλλον των θυμάτων και συμπεριλαμβανομένων και των δυαδικών αρχείων και κακόβουλου λογισμικού και κακόβουλου λογισμικού.
Σε ορισμένες περιπτώσεις, κατόρθωσαν να διατηρήσουν τη μυστικότητα βασιζόμενοι στην υποδομή κοντά στο θύμα, τα αξιόπιστα και τα νόμιμα πρωτόκολλα, την τοπική υποδομή και τη λήψη του χρόνου τους μεταξύ των συνεδριών εξάντλησης.
Στόχευση συνδεδεμένη κάμερα
Ένα μέρος της εκστρατείας κατασκοπείας είναι πιθανό να hacking feeds κάμερας (ιδιωτική, κυκλοφορία, στρατιωτικές εγκαταστάσεις, σιδηροδρομικές σταθμές, διασταύρωση των συνόρων) για την παρακολούθηση της κίνησης των υλικών στην Ουκρανία.
Η έκθεση από τις κυβερνητικές υπηρεσίες σημειώνει ότι στοχεύουν πάνω από 10.000 κάμερες, πάνω από το 80% που βρίσκονται στην Ουκρανία, ακολουθούμενη από σχεδόν χίλια στη Ρουμανία.
Ο John Hultquist, επικεφαλής αναλυτής της ομάδας πληροφοριών της Google Intelligence Group, δήλωσε στον BleepingComputer ότι εκτός από το ενδιαφέρον για τον εντοπισμό της υποστήριξης στο πεδίο της μάχης, ο στόχος του ηθοποιού απειλών είναι επίσης να διαταράξει “αυτή η υποστήριξη μέσω φυσικών ή κυβερνοχώρων”.
“Αυτά τα περιστατικά θα μπορούσαν να είναι πρόδρομοι σε άλλες σοβαρές ενέργειες”, δήλωσε ο Hultquist, προσθέτοντας μια προειδοποίηση ότι όποιος εμπλέκεται στη διαδικασία αποστολής υλικής βοήθειας στην Ουκρανία “θα πρέπει να θεωρήσει τους εαυτούς τους στοχευμένους”.
Ο συμβουλευτική για την ασφάλεια στον κυβερνοχώρο Περιλαμβάνει γενικές μετριασμούς ασφαλείας και ανιχνεύσεις, καθώς και ένα σύνολο δεικτών συμβιβασμού για σενάρια και επιχειρήσεις κοινής ωφέλειας που χρησιμοποιούνται, παρόχους ηλεκτρονικού ταχυδρομείου που χρησιμοποιούνται συνήθως από τον ηθοποιό απειλής, τα ονόματα αρχείων κακόβουλου αρχείου, τις διευθύνσεις IP και τις λεπτομέρειες εκμετάλλευσης προοπτικών.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
