- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 187 zobrazení
Česko a Německo v pátek odhalily, že byly terčem dlouhodobé kybernetické špionážní kampaně vedené s Ruskem napojeným národním státním aktérem známým jako APT28, který vyvolal odsouzení ze strany Evropské unie (E.U.), Severoatlantické aliance (NATO). ), Spojené království a USA
Ministerstvo zahraničních věcí České republiky (MZV) v prohlášení uvedlo, že některé nejmenované subjekty v zemi byly napadeny pomocí bezpečnostní chyby v Microsoft Outlooku, která vyšla najevo začátkem loňského roku.
"Kybernetické útoky namířené proti politickým subjektům, státním institucím a kritické infrastruktuře jsou nejen hrozbou pro národní bezpečnost, ale také narušují demokratické procesy, na kterých je založena naše svobodná společnost," uvedlo MZV.
Dotyčným bezpečnostním nedostatkem je CVE-2023-23397, nyní opravená chyba eskalace kritických oprávnění v aplikaci Outlook, která by mohla protivníkovi umožnit přístup k hodnotám Net-NTLMv2 a následně je použít k autentizaci pomocí předávacího útoku.
Německá spolková vláda (aka Bundesregierung) připsala aktéra hrozby kybernetickému útoku zaměřenému na výkonný výbor Sociálně demokratické strany, který používal stejnou zranitelnost Outlooku po „relativně dlouhou dobu“, což mu umožnilo „kompromitovat řadu e-mailových účtů“.
Některé průmyslové vertikály, na které se kampaň zaměřuje, zahrnují logistiku, zbrojení, letecký a kosmický průmysl, IT služby, nadace a sdružení se sídlem v Německu, na Ukrajině a v Evropě, přičemž Bundesregierung také zapojil skupinu do útoku na v roce 2015. německý spolkový parlament (Bundestag).
APT28, o kterém bylo zjištěno, že je napojený na vojenskou jednotku 26165 vojenské zpravodajské agentury Ruské federace GRU, je také sledován širší komunitou kybernetické bezpečnosti pod názvy BlueDelta, Fancy Bear, Forest Blizzard (dříve Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy a TA422.
Koncem minulého měsíce Microsoft připsal hackerské skupině zneužití komponenty Microsoft Windows Print Spooler (CVE-2022-38028, CVSS skóre: 7,8) jako nultého dne k doručení dříve neznámého vlastního malwaru zvaného GooseEgg k infiltraci ukrajinského, západního Evropské a severoamerické vládní, nevládní organizace, organizace v oblasti vzdělávání a dopravy.
NATO prohlásilo, že hybridní akce Ruska „představují hrozbu pro bezpečnost spojenců“. Připojila se také Rada Evropské unie, která uvedla, že „zlovolná kybernetická kampaň ukazuje neustálý ruský vzor nezodpovědného chování v kyberprostoru“.
"Nedávná aktivita ruské kybernetické skupiny GRU APT28, včetně cílení na výkonnou moc německé sociálně demokratické strany, je nejnovějším známým vzorcem chování ruských zpravodajských služeb s cílem podkopat demokratické procesy po celém světě," uvedla vláda Spojeného království.
Americké ministerstvo zahraničí popsalo, že APT28 se zapojuje do „zlomyslného, hanebného, destabilizujícího a rušivého chování“ a že se zavázala k „bezpečnosti našich spojenců a partnerů a prosazování mezinárodního řádu založeného na pravidlech, a to i v kyberprostoru“.
Začátkem letošního února narušila koordinovaná akce vymáhání práva botnet obsahující stovky routerů pro malé kanceláře a domácí kanceláře (SOHO) v USA a Německu, o kterých se předpokládá, že aktéři APT28 použili k ukrytí svých škodlivých aktivit, jako je zneužití CVE. -2023-23397 proti cílům zájmu.
Podle zprávy kybernetické bezpečnostní firmy Trend Micro z tohoto týdne pochází zločinecký proxy botnet třetí strany z roku 2016 a sestává z více než jen routerů od Ubiquiti, zahrnujících další routery založené na Linuxu, zařízení Raspberry Pi a virtuální privátní servery (VPS). ).
„Útočníkům [za botnetem] se podařilo přesunout některé roboty EdgeRouter ze serveru C&C [command-and-control], který byl stažen 26. ledna 2024, do nově nastavené infrastruktury C&C na začátku února 2024. “ uvedla společnost a přidala právní omezení a technické problémy zabránily důkladnému vyčištění všech zachycených routerů.
Očekává se, že ruská, státem podporovaná aktivita v oblasti kybernetických hrozeb – krádeže dat, destruktivní útoky, kampaně DDoS a ovlivňování – bude představovat vážné riziko pro volby v regionech, jako jsou USA, Spojené království a EU. z několika skupin, jako jsou APT28, APT29, APT44 (aka Sandworm), COLDRIVER a KillNet, podle hodnocení vydaného minulý týden dceřinou společností Google Cloud Mandiant.
"V roce 2016 APT28 napojený na GRU kompromitoval cíle organizace Demokratické strany USA i osobní účet předsedy kampaně demokratického kandidáta na prezidenta a zorganizoval únikovou kampaň před prezidentskými volbami v USA v roce 2016," uvedli výzkumníci Kelli Vanderlee a Jamie Collier.
Data z Cloudflare a NETSCOUT navíc ukazují nárůst DDoS útoků zaměřených na Švédsko po jeho přijetí do aliance NATO, což odráží vzor pozorovaný během vstupu Finska do NATO v roce 2023.
"Pravděpodobnými viníky těchto útoků byly hackerské skupiny NoName057, Anonymous Sudan, Russian Cyber Army Team a KillNet," uvedl NETSCOUT. "Všechny tyto skupiny jsou politicky motivované a podporují ruské ideály."
Ve zprávě vydané Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA) v prosinci 2023 se uvádí, že útoky DDoS jsou stále více podporovány válčením a geopolitickými motivacemi, přičemž uvádí, že současná oblast hrozeb DoS je do značné míry ovlivněna vznikem nedávných ozbrojených konfliktů v okolí. svět, což umožňuje aktérům hrozeb vybrat si cíle bez jakýchkoliv dopadů.
Tento vývoj přichází v době, kdy vládní agentury z Kanady, Spojeného království a USA vydaly nový společný informační list, který má pomoci zabezpečit organizace kritické infrastruktury před pokračujícími útoky zjevně proruských hacktivistů proti průmyslovým řídicím systémům (ICS) a malým operačním systémům. technologických (OT) systémů od roku 2022.
"Proruská hacktivistická aktivita se zdá být většinou omezena na jednoduché techniky, které manipulují s vybavením ICS tak, aby vyvolávaly obtěžující efekty," uvedly agentury. "Vyšetřování však odhalilo, že tito aktéři jsou schopni technik, které představují fyzickou hrozbu proti nezabezpečeným a špatně nakonfigurovaným OT prostředím."
Mezi cíle těchto útoků patří organizace v severoamerických a evropských sektorech kritické infrastruktury, včetně vodních a odpadních systémů, přehrad, energetiky, potravinářství a zemědělství.
Hacktivistické skupiny byly pozorovány při získávání vzdáleného přístupu využíváním veřejně odhalených připojení k internetu a také továrních výchozích hesel souvisejících s rozhraními HMI (Human Machine Interfaces), která v takových prostředích převládají, následované manipulací s kritickými parametry, vypínáním alarmových mechanismů, a uzamčení operátorů změnou hesla správce.
Mezi doporučení ke zmírnění hrozby patří posílení rozhraní člověk-stroj, omezení vystavení OT systémů internetu, používání silných a jedinečných hesel a implementace vícefaktorové autentizace pro veškerý přístup do sítě OT.
„Tito hacktivisté se snaží kompromitovat modulární, internetu vystavené průmyslové řídicí systémy (ICS) prostřednictvím svých softwarových komponent, jako jsou rozhraní HMI (Human Machine Interface), využíváním softwaru pro vzdálený přístup virtuálních sítí (VNC) a výchozích hesel,“ uvádí se v upozornění.
Zdroj článku: The Hacker News