Hakerska grupa povezana s Rusijom iskorištava poznatu grešku na popularnom serveru web pošte za špijuniranje vladinih i vojnih agencija u Evropi, kao i iranskih ambasada u Rusiji, navodi se u novom izvještaju.
U nedavnoj kampanji špijunaže, hakeri praćeni kao TAG-70 koristili su cross-site scripting ranjivost (XSS) na web serveru e-pošte Roundcube. Tokom XSS napada, hakeri ubrizgavaju zlonamjerne skripte u inače benigne i pouzdane web stranice.
Cilj najnovije kampanje grupe bio je prikupljanje obavještajnih podataka o evropskim političkim i vojnim aktivnostima, “možda radi sticanja strateških prednosti ili potkopavanja evropske sigurnosti i saveza”, tvrde istraživači iz Recorded Future’s Insikt Group, koji su analizirali napade i predstavili temu na Minhenskoj sigurnosnoj konferenciji. Record je uređivački nezavisna jedinica Recorded Future.
Ranije u februaru, Američka agencija za sajber sigurnost i sigurnost infrastrukture (CISA) dodala je grešku Roundcube, praćenu kao CVE-2023-43770, u svoj katalog poznatih iskorištavanih ranjivosti.
„Ove vrste ranjivosti su česti vektori napada za zlonamjerne hakere i predstavljaju značajne rizike za savezno preduzeće“, saopštila je CISA.
Prema izvještaju Insikt grupe, hakeri, koji se preklapaju sa grupom Winter Vivern, vjerovatno su počeli da eksploatišu Roundcube webmail servere početkom oktobra 2023. i nastavili su barem do sredine oktobra.
Winter Vivern je aktivan najmanje od decembra 2020. i vjerovatno provodi kampanje sajber špijunaže kako bi služio interesima Bjelorusije i Rusije. Grupa koristi napredne tehnike i alate, što ukazuje da je riječ o “dobro finansiranom i vještom hakeru koji je pokazao visok nivo sofisticiranosti u svojim metodama napada”, rekli su istraživači.
Njegove žrtve su se uglavnom nalazile u Gruziji, Poljskoj i Ukrajini. Ciljanje iranskih ambasada u Rusiji i Holandiji moglo bi biti povezano sa željom “da se procijene trenutne diplomatske aktivnosti i vanjska politika Irana, posebno jer se Rusija i dalje oslanja na oružje koje je Iran obezbijedio u Ukrajini”, navodi se u izvještaju.
Winter Vivernov napad na servere web-pošte Roundcube je najnoviji primjer ciljanja softvera e-pošte koji se pripisuje hakerima povezanim s Rusijom, rekli su istraživači.
Prošlog juna, istraživači Insikta otkrili su da je ruska državno sponzorisana sajber-špijunažna grupa BlueDelta, koja se preklapa s Fancy Bear-om, ciljala ranjive Roundcube instalacije širom Ukrajine i ranije je iskoristila kritičnu ranjivost nultog dana u Microsoft Outlooku.
Drugi ruski državni hakeri, kao što su Sandworm i Midnight Blizzard, takođe su ciljali usluge e-pošte u raznim kampanjama.
Winter Vivern predstavlja značajnu prijetnju Ukrajini, jer kompromitovani serveri e-pošte mogu otkriti osjetljive informacije o ukrajinskim ratnim naporima i planiranju, njenim odnosima i pregovorima sa zemljama partnerima, kažu istraživači.
Prošlog februara, grupa je zarazila kompjutere ukrajinske vlade malverom koji se nalazi na lažnim web stranicama koje se lažno predstavljaju kao legitimne državne službe. Tokom kampanje u martu, Winter Vivern je ciljao vladine agencije i telekom operatere u Ukrajini, Indiji i Evropi.
Ukrajinska agencija za sajber bezbjednost nije odgovorila na zahtjev za komentar o metama hakovanja Roundcube u Ukrajini.
Izvor: The Record