NSA, FBI, CISA i saveznici procijenili su kibernetičke hakere povezane s Glavnim obavještajnim direktoratom ruskog Generalštaba (GRU), Jedinicom 29155, koji su odgovorni za vođenje operacija kompjuterske mreže protiv globalnih ciljeva s namjerom špijunaže, sabotaže i oštećenje ugleda.
Već 13. januara 2022. sajber akteri iz GRU jedinice 29155 počeli su da napadaju nekoliko ukrajinskih kompanija žrtava razornim malverom WhisperGate .
Ovaj WhisperGate je višestepeni brisač dizajniran da liči na ransomware koji je korišten protiv nekoliko vladinih, neprofitnih i informatičkih kompanija u Ukrajini od najmanje januara 2022.
TTP-ovi povezani sa Cyber akterima jedinice 29155
Čini se da ciljevi sajber hakera povezanih sa Jedinicom 29155 uključuju prikupljanje podataka u svrhe špijunaže , narušavanje ugleda kroz krađu i otkrivanje povjerljivih informacija i namjerno ometanje podataka.
Prema FBI-u , sajber hakeri su mlađi oficiri GRU-a koji služe na aktivnoj dužnosti, a vodi ih iskusno vođstvo Jedinice 29155. Izvođenjem sajber operacija i upada, čini se da ovi pojedinci razvijaju svoje tehničke sposobnosti i stiču stručnost u oblasti sajber sigurnosti.
Ruske hakere koje Microsoft nazivaju pseudonima Cadet Blizzard (ranije DEV-0586) i Ember Bear (Bleeding Bear od CrowdStrike) službeno su identifikovale američke vlasti kao one koji stoje iza opsežnih napada na vitalnu infrastrukturu Sjedinjenih Država. .
Nadalje, sajber hakeri Jedinice 29155 izveli su operacije kompjuterske mreže protiv više članica Sjevernoatlantskog pakta (NATO) u Evropi i Sjevernoj Americi, kao i zemljama Evrope, Latinske Amerike i Centralne Azije.
Kibernetičke kampanje, uključujući eksfiltraciju podataka, skeniranje infrastrukture, uništavanje web stranica i operacije curenja podataka, dio su aktivnosti.
Ovi napadači iskorištavaju svoje ranjivosti za prikupljanje podataka o žrtvama koji su eksfiltrirani i prodani ili objavljeni. Od početka 2022. sajber napadači su ciljali i ometali inicijative pomoći u Ukrajini.
“Do danas, FBI je zapazio više od 14.000 slučajeva skeniranja domena u najmanje 26 članica NATO-a i nekoliko dodatnih zemalja Evropske unije (EU)”, stoji u zajedničkom savjetu.
Za skeniranje i pokušaje eksploatacije ranjivosti, grupa je koristila alate uključujući Acunetix, Amass, Droopescan, JoomScan, MASSCAN, Netcat, Nmap, Shodan, VirusTotal i WPScan.
Sajber kriminalci imaju istoriju korišćenja VPN-a za prikrivanje svojih operacija. Često pokušavaju da iskoriste prednosti ranjivosti u sistemima dostupnim preko Interneta.
Iskorištavali su skripte za eksploataciju kako bi dobili pristup IP kamerama koristeći svoje zadane identitete i lozinke, koristili Shodan za traženje uređaja Interneta stvari (IoT) i ekstrahovane datoteke (JPG datoteke).
Grupa je koristila virtuelne privatne servere (VPS) za hostovanje svojih operativnih alata, izviđanje, eksploataciju infrastrukture žrtava i eksfiltriranje podataka o žrtvama.
Ublažavanja
- Dajte prioritet redovnim nadogradnjama sistema i popravite ranjivosti za koje se zna da su iskorišćene.
- Podijelite mreže na segmente kako biste spriječili širenje zlonamjernog ponašanja.
- Za sve eksterne usluge naloga, uključujući web poštu, VPN i naloge koji pristupaju vitalnim sistemima, omogućite multifaktorsku autentifikaciju otpornu na krađu identiteta (MFA).
„Za organizacije je važno da koriste ove informacije i poduzmu hitne mjere kako bi osigurale podatke i ublažile svaku štetu koju prouzrokuju ovi zlonamjerni hakeri“, Dave Luber, direktor sajber sigurnosti NSA-e.
Izvor: CyberSecurityNews