Франция: Русия е пробила множество критични мрежи

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Факти и данни

От втората половина на 2021 г. руската хакерска група APT28 (известна още като „Strontium“ или „Fancy Bear“) се насочва към правителствени структури, предприятия, университети, изследователски институти и мозъчни тръстове във Франция.

Групата за заплахи, която се счита за част от руското военно разузнаване GRU, наскоро беше свързана с експлоатирането на CVE-2023-38831, уязвимост за отдалечено изпълнение на код в WinRAR, и CVE-2023-23397, недостатък от нулев ден за повишаване на привилегиите в Microsoft Outlook.

Руските хакери компрометират периферни устройства в критични мрежи на френски организации и се отдалечават от използването на задни врати, за да избегнат откриване.

Това се казва в наскоро публикуван доклад на ANSSI (Agence Nationale de la sécurité des systèmes d’information), Френската национална агенция за сигурност на информационните системи, която е провела разследване на дейността на групата за кибершпионаж.

Разузнаване на мрежата и първоначален достъп

ANSSI е направила карта на TTPs (техники, тактики и процедури) на APT28, като е съобщила, че групата за заплахи използва груба сила и изтекли бази данни, съдържащи пълномощни, за да пробие акаунти и рутерри Ubiquiti в целеви мрежи.

В един случай от април 2023 г. нападателите са провели фишинг кампания, която е подмамила получателите да стартират PowerShell, който разкрива системната им конфигурация, изпълняваните процеси и други подробности за операционната система.

Между март 2022 г. и юни 2023 г. APT28 е изпратила имейли на потребители на Outlook, които са експлоатирали тогавашната уязвимост от нулев ден, сега проследявана като CVE-2023-23397, което поставя първоначалната експлоатация един месец по-рано от това, което беше съобщено наскоро.

През този период нападателите са експлоатирали и CVE-2022-30190 (известна още като „Follina“) в Microsoft Windows Support Diagnostic Tool и CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 в приложението Roundcube.

Инструментите, използвани в първите етапи на атаките, включват инструмента за извличане на пароли Mimikatz и инструмента за препредаване на трафик reGeorg, както и услугите с отворен код Mockbin и Mocky.

ANSSI съобщава също, че APT28 използва редица VPN клиенти, включително SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN и VPNSecure.

Addresses that disseminated emails exploiting CVE-2023-23397

Адреси, от които се разпространяват имейли с експлоатиране на CVE-2023-23397 (ANSSI)

Достъп до данни и ексфилтрация

Като група за кибершпионаж достъпът до данни и ексфилтрацията са в основата на оперативните цели на Strontium.

ANSSI е наблюдавала, че хакерите от групата извличат информация за удостоверяване на автентичност с помощта на местни помощни програми и крадат имейли, съдържащи чувствителна информация и кореспонденция.

По-конкретно нападателите използват CVE-2023-23397, за да задействат SMB връзка от целевите акаунти към услуга под техен контрол, което позволява извличането на хеша за удостоверяване NetNTLMv2, който може да се използва и в други услуги.

Инфраструктурата на сървъра за командване и контрол (C2) на APT28 разчита на легитимни облачни услуги, като например Microsoft OneDrive и Google Drive, за да може обменът да предизвика по-малка вероятност за алармиране от страна на инструментите за наблюдение на трафика.

И накрая, ANSSI е видяла доказателства, че нападателите събират данни с помощта на импланта CredoMap, който е насочен към информация, съхранявана в уеб браузъра на жертвата, като например бисквитки за удостоверяване.

Mockbin и услугата Pipedream също участват в процеса на ексфилтрация на данни.

APT28 attack chain

Верига атаки на APT28 (ANSSI)

Препоръки в областта на защитата

ANSSI набляга на всеобхватния подход към сигурността, който включва оценка на рисковете. В случая със заплахата APT28 съсредоточаването върху сигурността на електронната поща е от решаващо значение.

Основните препоръки на агенцията относно сигурността на електронната поща включват:

  • Осигуряване на сигурността и поверителността на обмена на имейли.
  • Използвайте сигурни платформи за обмен, за да предотвратите пренасочването или отвличането на имейли.
  • Намалете до минимум повърхността на атака на уебмейл интерфейсите и намалете рисковете от сървъри като Microsoft Exchange.
  • Внедрете възможности за откриване на злонамерени имейли.

За повече подробности относно констатациите на ANSSI и съветите за защита разгледайте пълния доклад тук.

#хибридна война, # шпионаж
По материали от Интернет

Подобни

Handala vs Stryker - инцидентът е ограничен до вътрешната Microsoft среда
17.03.2026
Iran-fingerprint
BBC разкрива, че Meta и TikTok са толерирали вредно съдържание
17.03.2026
blue-hand-2228501_640
BreachForums е офлайн след интервенция на CCITIC
17.03.2026
andrzejrembowski-police-4283383_640
Britannica и Merriam-Webster съдят OpenAI за нарушаване на авторски права
17.03.2026
viarami-artificial-intelligence-9569865_640
Meta подписва 5-годишно споразумение с Nebius за до $27 млрд.
17.03.2026
handshake-3100563_640
Илон Мъск преосмисля xAI
17.03.2026
ai-generated-8223753_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.