Търсене
Close this search box.

Winter Vivernе атакува европейски правителства и военните

Усъвършенстваната шпионска кампания на TAG-70 беше насочена към редица геополитически цели, което показва, че става дума за високоспособna и добре финансирna заплаха, подкрепянa от държавата.

Групата за заплахи от Русия, известна като Winter Vivern, е открита през октомври, когато е използвала уязвимости за скриптиране на кръстосани сайтове (XSS) в уебмейл сървърите на Roundcube в цяла Европа – и сега жертвите ѝ излизат наяве.

Групата се е насочвала главно към правителствена, военна и национална инфраструктура в Грузия, Полша и Украйна, според публикувания днес доклад за кампанията на Insikt Group на Recorded Future.

В доклада се посочват и допълнителни цели, сред които посолството на Иран в Москва, посолството на Иран в Нидерландия и посолството на Грузия в Швеция.

Използвайки сложни техники за социално инженерство, APT (която Insikt нарича TAG-70 и която е известна още като TA473 и UAC-0114) използва експлойт от нулев ден на Roundcube, zза който наскоро писахме, за да получи неоторизиран достъп до целеви пощенски сървъри в поне 80 отделни организации, вариращи от транспортния и образователния сектор до организации за химически и биологични изследвания.

Смята се, че кампанията е била разгърната с цел събиране на разузнавателна информация за европейските политически и военни дела, потенциално с цел получаване на стратегически предимства или подкопаване на европейската сигурност и съюзи, според Insikt.

Групата е заподозряна в провеждането на кампании за кибершпионаж, обслужващи интересите на Беларус и Русия, и е активна поне от декември 2020 г.

Геополитическите мотиви на Winter Vivern за кибершпионаж

Октомврийската кампания е свързана с предишна дейност на TAG-70 срещу правителствени пощенски сървъри в Узбекистан, за която Insikt Group съобщава през февруари 2023 г.

Очевидна мотивация за насочването към Украйна е конфликтът с Русия.

„В контекста на продължаващата война в Украйна компрометираните имейл сървъри могат да разкрият чувствителна информация относно военните усилия и планирането на Украйна, нейните взаимоотношения и преговори с държавите партньори, тъй като тя търси допълнителна военна и икономическа помощ, [които] разкриват трети страни, сътрудничещи с украинското правителство в частен план, и разкриват пукнатини в коалицията, подкрепяща Украйна“, се отбелязва в доклада на Insikt.

Същевременно съсредоточаването върху иранските посолства в Русия и Нидерландия може да е свързано с мотива да се оценят текущите дипломатически ангажименти и външнополитически позиции на Иран, особено като се има предвид участието на Иран в подкрепата на Русия в конфликта в Украйна.

По подобен начин шпионажът, насочен към грузинското посолство в Швеция и грузинското министерство на отбраната, вероятно произтича от сходни външнополитически цели, особено след като Грузия съживи стремежа си към членство в Европейския съюз и присъединяване към НАТО след нахлуването на Русия в Украйна в началото на 2022 г.

Други забележителни цели включват организации, участващи в логистичната и транспортната индустрия, което е показателно въз основа на контекста на войната в Украйна, тъй като стабилните логистични мрежи се оказаха от решаващо значение и за двете страни за поддържане на способността им да воюват.

Защитата от кибершпионаж е трудна

Кампаниите за кибершпионаж се разрастват: По-рано този месец усъвършенствана руска APT започна целенасочена кампания за атаки на PowerShell срещу украинските военни, а друга руска APT, Turla, се насочи към полски неправителствени организации, използвайки нов зловреден софтуер със задна врата.

Украйна също започна свои собствени кибератаки срещу Русия, като през януари атакува сървърите на московския доставчик на интернет услуги M9 Telecom в отговор на подкрепения от Русия пробив в мобилния оператор Kyivstar.

В доклада на Insikt Group обаче се отбелязва, че защитата срещу подобни атаки може да бъде трудна, особено в случай на използване на уязвимости от типа „нулев ден“.

Въпреки това организациите могат да намалят въздействието на компрометирането чрез криптиране на имейли и обмисляне на алтернативни форми на защитени комуникации за предаване на особено чувствителна информация.

От решаващо значение е също така да се гарантира, че всички сървъри и софтуер са коригирани и се поддържат в актуално състояние, а потребителите трябва да отварят имейли само от доверени контакти.

Организациите трябва също така да ограничат количеството чувствителна информация, съхранявана на пощенските сървъри, като практикуват добра хигиена и намалят съхраняването на данни, и да ограничат чувствителната информация и разговорите до по-сигурни системи от по-високо ниво, когато е възможно.

В доклада се отбелязва също, че отговорното разкриване на уязвимости, особено на такива, използвани от APT  като TAG-70, е от решаващо значение по няколко причини.

Анализатор по разузнаване на заплахите в Insikt Group на Recorded Future обясни по електронната поща, че този подход гарантира, че уязвимостите се поправят и коригират бързо, преди други да ги открият и да злоупотребят с тях, и дава възможност за ограничаване на експлойтите от сложни нападатели, като предотвратява по-широки и бързи вреди.

„В крайна сметка този подход е насочен към справяне с непосредствените рискове и насърчава дългосрочните подобрения в глобалните практики за киберсигурност“, обясни анализаторът.

 

Източник: DARKReading

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
Бъдете социални
Още по темата
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!