More

    Ruski vojni hakeri napadaju američku i globalnu kritičnu infrastrukturu

    NSA, FBI, CISA i saveznici procijenili su kibernetičke hakere povezane s Glavnim obavještajnim direktoratom ruskog Generalštaba (GRU), Jedinicom 29155, koji su odgovorni za vođenje operacija kompjuterske mreže protiv globalnih ciljeva s namjerom špijunaže, sabotaže i oštećenje ugleda.

    Već 13. januara 2022. sajber akteri iz GRU jedinice 29155 počeli su da napadaju nekoliko ukrajinskih kompanija žrtava razornim malverom WhisperGate . 

    Ovaj WhisperGate je višestepeni brisač dizajniran da liči na ransomware koji je korišten protiv nekoliko vladinih, neprofitnih i informatičkih kompanija u Ukrajini od najmanje januara 2022.

    TTP-ovi povezani sa Cyber ​​akterima jedinice 29155

    Čini se da ciljevi sajber hakera povezanih sa Jedinicom 29155 uključuju prikupljanje podataka u svrhe špijunaže , narušavanje ugleda kroz krađu i otkrivanje povjerljivih informacija i namjerno ometanje podataka.

    Prema FBI-u , sajber hakeri su mlađi oficiri GRU-a koji služe na aktivnoj dužnosti, a vodi ih iskusno vođstvo Jedinice 29155. Izvođenjem sajber operacija i upada, čini se da ovi pojedinci razvijaju svoje tehničke sposobnosti i stiču stručnost u oblasti sajber sigurnosti.

    Ruske hakere koje Microsoft nazivaju pseudonima Cadet Blizzard (ranije DEV-0586) i Ember Bear (Bleeding Bear od CrowdStrike) službeno su identifikovale američke vlasti kao one koji stoje iza opsežnih napada na vitalnu infrastrukturu Sjedinjenih Država. .

    Nadalje, sajber hakeri Jedinice 29155 izveli su operacije kompjuterske mreže protiv više članica Sjevernoatlantskog pakta (NATO) u Evropi i Sjevernoj Americi, kao i zemljama Evrope, Latinske Amerike i Centralne Azije.

    Kibernetičke kampanje, uključujući eksfiltraciju podataka, skeniranje infrastrukture, uništavanje web stranica i operacije curenja podataka, dio su aktivnosti. 

    Ovi napadači iskorištavaju svoje ranjivosti za prikupljanje podataka o žrtvama koji su eksfiltrirani i prodani ili objavljeni. Od početka 2022. sajber napadači su ciljali i ometali inicijative pomoći u Ukrajini. 

    “Do danas, FBI je zapazio više od 14.000 slučajeva skeniranja domena u najmanje 26 članica NATO-a i nekoliko dodatnih zemalja Evropske unije (EU)”, stoji u zajedničkom savjetu.

    Za skeniranje i pokušaje eksploatacije ranjivosti, grupa je koristila alate uključujući Acunetix, Amass, Droopescan, JoomScan, MASSCAN, Netcat, Nmap, Shodan, VirusTotal i WPScan.

    Sajber kriminalci imaju istoriju korišćenja VPN-a za prikrivanje svojih operacija. Često pokušavaju da iskoriste prednosti ranjivosti u sistemima dostupnim preko Interneta.

    Iskorištavali su skripte za eksploataciju kako bi dobili pristup IP kamerama koristeći svoje zadane identitete i lozinke, koristili Shodan za traženje uređaja Interneta stvari (IoT) i ekstrahovane datoteke (JPG datoteke). 

    Grupa je koristila virtuelne privatne servere (VPS) za hostovanje svojih operativnih alata, izviđanje, eksploataciju infrastrukture žrtava i eksfiltriranje podataka o žrtvama. 

    Ublažavanja

    • Dajte prioritet redovnim nadogradnjama sistema i popravite ranjivosti za koje se zna da su iskorišćene.
    • Podijelite mreže na segmente kako biste spriječili širenje zlonamjernog ponašanja.
    • Za sve eksterne usluge naloga, uključujući web poštu, VPN i naloge koji pristupaju vitalnim sistemima, omogućite multifaktorsku autentifikaciju otpornu na krađu identiteta (MFA).

    „Za organizacije je važno da koriste ove informacije i poduzmu hitne mjere kako bi osigurale podatke i ublažile svaku štetu koju prouzrokuju ovi zlonamjerni hakeri“, Dave Luber, direktor sajber sigurnosti NSA-e.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories