Усъвършенстваната шпионска кампания на TAG-70 беше насочена към редица геополитически цели, което показва, че става дума за високоспособna и добре финансирna заплаха, подкрепянa от държавата.
Групата за заплахи от Русия, известна като Winter Vivern, е открита през октомври, когато е използвала уязвимости за скриптиране на кръстосани сайтове (XSS) в уебмейл сървърите на Roundcube в цяла Европа – и сега жертвите ѝ излизат наяве.
Групата се е насочвала главно към правителствена, военна и национална инфраструктура в Грузия, Полша и Украйна, според публикувания днес доклад за кампанията на Insikt Group на Recorded Future.
В доклада се посочват и допълнителни цели, сред които посолството на Иран в Москва, посолството на Иран в Нидерландия и посолството на Грузия в Швеция.
Използвайки сложни техники за социално инженерство, APT (която Insikt нарича TAG-70 и която е известна още като TA473 и UAC-0114) използва експлойт от нулев ден на Roundcube, zза който наскоро писахме, за да получи неоторизиран достъп до целеви пощенски сървъри в поне 80 отделни организации, вариращи от транспортния и образователния сектор до организации за химически и биологични изследвания.
Смята се, че кампанията е била разгърната с цел събиране на разузнавателна информация за европейските политически и военни дела, потенциално с цел получаване на стратегически предимства или подкопаване на европейската сигурност и съюзи, според Insikt.
Групата е заподозряна в провеждането на кампании за кибершпионаж, обслужващи интересите на Беларус и Русия, и е активна поне от декември 2020 г.
Октомврийската кампания е свързана с предишна дейност на TAG-70 срещу правителствени пощенски сървъри в Узбекистан, за която Insikt Group съобщава през февруари 2023 г.
Очевидна мотивация за насочването към Украйна е конфликтът с Русия.
„В контекста на продължаващата война в Украйна компрометираните имейл сървъри могат да разкрият чувствителна информация относно военните усилия и планирането на Украйна, нейните взаимоотношения и преговори с държавите партньори, тъй като тя търси допълнителна военна и икономическа помощ, [които] разкриват трети страни, сътрудничещи с украинското правителство в частен план, и разкриват пукнатини в коалицията, подкрепяща Украйна“, се отбелязва в доклада на Insikt.
Същевременно съсредоточаването върху иранските посолства в Русия и Нидерландия може да е свързано с мотива да се оценят текущите дипломатически ангажименти и външнополитически позиции на Иран, особено като се има предвид участието на Иран в подкрепата на Русия в конфликта в Украйна.
По подобен начин шпионажът, насочен към грузинското посолство в Швеция и грузинското министерство на отбраната, вероятно произтича от сходни външнополитически цели, особено след като Грузия съживи стремежа си към членство в Европейския съюз и присъединяване към НАТО след нахлуването на Русия в Украйна в началото на 2022 г.
Други забележителни цели включват организации, участващи в логистичната и транспортната индустрия, което е показателно въз основа на контекста на войната в Украйна, тъй като стабилните логистични мрежи се оказаха от решаващо значение и за двете страни за поддържане на способността им да воюват.
Кампаниите за кибершпионаж се разрастват: По-рано този месец усъвършенствана руска APT започна целенасочена кампания за атаки на PowerShell срещу украинските военни, а друга руска APT, Turla, се насочи към полски неправителствени организации, използвайки нов зловреден софтуер със задна врата.
Украйна също започна свои собствени кибератаки срещу Русия, като през януари атакува сървърите на московския доставчик на интернет услуги M9 Telecom в отговор на подкрепения от Русия пробив в мобилния оператор Kyivstar.
В доклада на Insikt Group обаче се отбелязва, че защитата срещу подобни атаки може да бъде трудна, особено в случай на използване на уязвимости от типа „нулев ден“.
Въпреки това организациите могат да намалят въздействието на компрометирането чрез криптиране на имейли и обмисляне на алтернативни форми на защитени комуникации за предаване на особено чувствителна информация.
От решаващо значение е също така да се гарантира, че всички сървъри и софтуер са коригирани и се поддържат в актуално състояние, а потребителите трябва да отварят имейли само от доверени контакти.
Организациите трябва също така да ограничат количеството чувствителна информация, съхранявана на пощенските сървъри, като практикуват добра хигиена и намалят съхраняването на данни, и да ограничат чувствителната информация и разговорите до по-сигурни системи от по-високо ниво, когато е възможно.
В доклада се отбелязва също, че отговорното разкриване на уязвимости, особено на такива, използвани от APT като TAG-70, е от решаващо значение по няколко причини.
Анализатор по разузнаване на заплахите в Insikt Group на Recorded Future обясни по електронната поща, че този подход гарантира, че уязвимостите се поправят и коригират бързо, преди други да ги открият и да злоупотребят с тях, и дава възможност за ограничаване на експлойтите от сложни нападатели, като предотвратява по-широки и бързи вреди.
„В крайна сметка този подход е насочен към справяне с непосредствените рискове и насърчава дългосрочните подобрения в глобалните практики за киберсигурност“, обясни анализаторът.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.