Državno sponzorisana ruska hakerska grupa, poznata kao APT28 (takođe nazvana BlueDelta, Fancy Bear ili Forest Blizzard), odgovorna je za kampanju špijunaže koja cilja logističke i tehnološke kompanije sa Zapada od 2022. godine.
Prema zajedničkom upozorenju bezbjednosnih agencija iz Australije, Kanade, Češke, Danske, Estonije, Francuske, Njemačke, Holandija, Poljske, Velike Britanije i SAD-a, mete napada su kompanije koje učestvuju u koordinaciji, transportu i isporuci strane pomoći Ukrajini.
“Ova kampanja usmjerena na sajber špijunažu koristi kombinaciju već poznatih metoda napada, a vjerovatno je povezana s ranijim APT28 napadima na IP kamere u Ukrajini i NATO zemljama u okruženju.”
Šira kampanja špijunaže i širenje malvera
Nekoliko sedmica ranije, Ministarstvo vanjskih poslova Francuske optužilo je APT28 za napade na desetine ciljeva uključujući ministarstva, odbrambene kompanije, istraživačke institucije i think tankove od 2021. godine.
Firma ESET je otkrila kampanju pod nazivom Operation RoundPress, aktivnu od 2023, u kojoj su APT28 članovi koristili XSS ranjivosti u webmail servisima kao što su Roundcube, Horde, MDaemon i Zimbra, kako bi napadali vladine institucije i odbrambene firme u Istočnoj Evropi, Africi, Evropi i Južnoj Americi.
Taktike korištene u napadima
APT28 koristi različite tehnike za pristup sistemima žrtava:
- Brute-force napade za pogađanje lozinki
- Spear-phishing sa lažnim login stranicama koje imitiraju državne institucije i cloud servise
- Malver putem spear-phishinga
- Iskorištavanje ranjivosti u Outlook NTLM autentifikaciji (CVE-2023-23397)
- Iskorištavanje ranjivosti u Roundcube platformi (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- Napadi na VPN infrastrukturu pomoću poznatih ranjivosti i SQL injekcija
- Iskorištavanje WinRAR ranjivosti (CVE-2023-38831)
Post-eksploatacione aktivnosti
Nakon uspješnog pristupa, APT28 sprovodi:
- Izviđanje mreže radi identifikacije ključnog osoblja i partnera u isporuci pomoći
- Lateralno kretanje kroz mrežu pomoću alata poput:
- Impacket
- PsExec
- RDP (Remote Desktop Protocol)
- Certipy i ADExplorer.exe za izvoz podataka iz Active Directory-ja
- Manipulaciju mailbox dozvolama u Microsoft Exchange kako bi postavili kontinuirano prikupljanje e-mailova
- Korištenje PowerShell komandi za kreiranje ZIP arhiva i njihovo slanje na infrastrukturu pod kontrolom napadača
- Eksfiltraciju podataka putem Exchange Web Services (EWS) i IMAP-a
Upotreba naprednog malvera i infrastrukture u oblaku
APT28 je takođe:
- Koristio malver porodice poput HeadLace i MASEPIE za dugoročnu prisutnost i krađu osjetljivih podataka.
- Hostovao lažne reCAPTCHA stranice na Tigris Object Storage, Oracle Cloud Infrastructure (OCI) i Scaleway Object Storage, koristeći ClickFix tehnike za distribuciju malvera Lumma Stealer.
“Nova kampanja koristi unaprijeđene metode isporuke koje ciljaju tehnički napredne korisnike i zaobilaze tradicionalnu detekciju,” navode istraživači iz Cato Networks.
Ciljevi napada
Primarne mete uključuju:
- Državne i logističke institucije u NATO zemljama i Ukrajini
- Organizacije u sektorima:
- Odbrane
- Transporta
- Pomorstva
- Upravljanja zračnim saobraćajem
- IT usluga
Zemlje pogođene kampanjom: Bugarska, Češka, Francuska, Njemačka, Grčka, Italija, Moldavija, Holandija, Poljska, Rumunija, Slovačka, Ukrajina i SAD.
Zaključak i preporuke
“Nakon što ruske vojne snage nisu ostvarile očekivane ciljeve, jedinica 26165 pojačala je napade na entitete uključene u isporuku pomoći Ukrajini,” stoji u izvještaju. Takođe su napadane internet kamere na ukrajinskim graničnim prelazima radi praćenja pošiljki pomoći.
Preporuke za zaštitu:
- Koristiti više-faktorsku autentifikaciju
- Redovno ažurirati VPN, e-mail i webmail servise
- Pratiti dozvole nad e-mail nalozima i mailbox-ima
- Blokirati sumnjive notifikacije i domene
- Edukovati osoblje o spear-phishingu i lažnim login stranicama