Усъвършенстваната шпионска кампания на TAG-70 беше насочена към редица геополитически цели, което показва, че става дума за високоспособna и добре финансирna заплаха, подкрепянa от държавата.

Групата за заплахи от Русия, известна като Winter Vivern, е открита през октомври, когато е използвала уязвимости за скриптиране на кръстосани сайтове (XSS) в уебмейл сървърите на Roundcube в цяла Европа – и сега жертвите ѝ излизат наяве.

Групата се е насочвала главно към правителствена, военна и национална инфраструктура в Грузия, Полша и Украйна, според публикувания днес доклад за кампанията на Insikt Group на Recorded Future.

В доклада се посочват и допълнителни цели, сред които посолството на Иран в Москва, посолството на Иран в Нидерландия и посолството на Грузия в Швеция.

Използвайки сложни техники за социално инженерство, APT (която Insikt нарича TAG-70 и която е известна още като TA473 и UAC-0114) използва експлойт от нулев ден на Roundcube, zза който наскоро писахме, за да получи неоторизиран достъп до целеви пощенски сървъри в поне 80 отделни организации, вариращи от транспортния и образователния сектор до организации за химически и биологични изследвания.

Смята се, че кампанията е била разгърната с цел събиране на разузнавателна информация за европейските политически и военни дела, потенциално с цел получаване на стратегически предимства или подкопаване на европейската сигурност и съюзи, според Insikt.

Групата е заподозряна в провеждането на кампании за кибершпионаж, обслужващи интересите на Беларус и Русия, и е активна поне от декември 2020 г.

Геополитическите мотиви на Winter Vivern за кибершпионаж

Октомврийската кампания е свързана с предишна дейност на TAG-70 срещу правителствени пощенски сървъри в Узбекистан, за която Insikt Group съобщава през февруари 2023 г.

Очевидна мотивация за насочването към Украйна е конфликтът с Русия.

„В контекста на продължаващата война в Украйна компрометираните имейл сървъри могат да разкрият чувствителна информация относно военните усилия и планирането на Украйна, нейните взаимоотношения и преговори с държавите партньори, тъй като тя търси допълнителна военна и икономическа помощ, [които] разкриват трети страни, сътрудничещи с украинското правителство в частен план, и разкриват пукнатини в коалицията, подкрепяща Украйна“, се отбелязва в доклада на Insikt.

Същевременно съсредоточаването върху иранските посолства в Русия и Нидерландия може да е свързано с мотива да се оценят текущите дипломатически ангажименти и външнополитически позиции на Иран, особено като се има предвид участието на Иран в подкрепата на Русия в конфликта в Украйна.

По подобен начин шпионажът, насочен към грузинското посолство в Швеция и грузинското министерство на отбраната, вероятно произтича от сходни външнополитически цели, особено след като Грузия съживи стремежа си към членство в Европейския съюз и присъединяване към НАТО след нахлуването на Русия в Украйна в началото на 2022 г.

Други забележителни цели включват организации, участващи в логистичната и транспортната индустрия, което е показателно въз основа на контекста на войната в Украйна, тъй като стабилните логистични мрежи се оказаха от решаващо значение и за двете страни за поддържане на способността им да воюват.

Защитата от кибершпионаж е трудна

Кампаниите за кибершпионаж се разрастват: По-рано този месец усъвършенствана руска APT започна целенасочена кампания за атаки на PowerShell срещу украинските военни, а друга руска APT, Turla, се насочи към полски неправителствени организации, използвайки нов зловреден софтуер със задна врата.

Украйна също започна свои собствени кибератаки срещу Русия, като през януари атакува сървърите на московския доставчик на интернет услуги M9 Telecom в отговор на подкрепения от Русия пробив в мобилния оператор Kyivstar.

В доклада на Insikt Group обаче се отбелязва, че защитата срещу подобни атаки може да бъде трудна, особено в случай на използване на уязвимости от типа „нулев ден“.

Въпреки това организациите могат да намалят въздействието на компрометирането чрез криптиране на имейли и обмисляне на алтернативни форми на защитени комуникации за предаване на особено чувствителна информация.

От решаващо значение е също така да се гарантира, че всички сървъри и софтуер са коригирани и се поддържат в актуално състояние, а потребителите трябва да отварят имейли само от доверени контакти.

Организациите трябва също така да ограничат количеството чувствителна информация, съхранявана на пощенските сървъри, като практикуват добра хигиена и намалят съхраняването на данни, и да ограничат чувствителната информация и разговорите до по-сигурни системи от по-високо ниво, когато е възможно.

В доклада се отбелязва също, че отговорното разкриване на уязвимости, особено на такива, използвани от APT  като TAG-70, е от решаващо значение по няколко причини.

Анализатор по разузнаване на заплахите в Insikt Group на Recorded Future обясни по електронната поща, че този подход гарантира, че уязвимостите се поправят и коригират бързо, преди други да ги открият и да злоупотребят с тях, и дава възможност за ограничаване на експлойтите от сложни нападатели, като предотвратява по-широки и бързи вреди.

„В крайна сметка този подход е насочен към справяне с непосредствените рискове и насърчава дългосрочните подобрения в глобалните практики за киберсигурност“, обясни анализаторът.

 

Източник: DARKReading

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
Бъдете социални
Още по темата
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
20/01/2025

FCC с отговор на хакерските...

Федералната комисия по комуникациите прие декларативно...
20/01/2025

TikTok възстановява услугат...

TikTok възстанови услугите си за потребителите...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!