Nhóm đe dọa liên kết với Nga được gọi là Vivern mùa đông đã bị phát hiện khi khai thác các lỗ hổng cross-site scripting (XSS) trong các máy chủ webmail Roundcube trên khắp châu Âu vào tháng 10 - và giờ đây các nạn nhân của nó đã lộ diện.
Theo báo cáo của Recorded Future's Insikt Group về chiến dịch được công bố hôm nay, nhóm này chủ yếu nhắm mục tiêu vào cơ sở hạ tầng của chính phủ, quân đội và quốc gia ở Georgia, Ba Lan và Ukraine.
Báo cáo cũng nêu bật các mục tiêu bổ sung, bao gồm Đại sứ quán Iran ở Moscow, Đại sứ quán Iran ở Hà Lan và Đại sứ quán Georgia ở Thụy Điển.
Bằng cách sử dụng các kỹ thuật lừa đảo xã hội phức tạp, APT (mà Insikt gọi là TAG-70 và còn được gọi là TA473 và UAC-0114) đã sử dụng một Khai thác zero-day của Roundcube để có quyền truy cập trái phép vào các máy chủ thư được nhắm mục tiêu trên ít nhất 80 tổ chức riêng biệt, từ lĩnh vực vận tải và giáo dục đến các tổ chức nghiên cứu hóa học và sinh học.
Theo Insikt, chiến dịch này được cho là đã được triển khai để thu thập thông tin tình báo về các vấn đề chính trị và quân sự của châu Âu, có khả năng đạt được lợi thế chiến lược hoặc làm suy yếu an ninh và liên minh châu Âu.
Nhóm này bị tình nghi thực hiện các chiến dịch gián điệp mạng phục vụ lợi ích của Belarus và Nga và đã hoạt động ít nhất từ tháng 2020 năm XNUMX.
Động cơ địa chính trị của Winter Vivern cho hoạt động gián điệp mạng
Chiến dịch tháng 70 có liên quan đến hoạt động trước đó của TAG-2023 nhằm vào các máy chủ thư của chính phủ Uzbekistan, được Insikt Group báo cáo vào tháng XNUMX năm XNUMX.
Động cơ rõ ràng cho việc nhắm mục tiêu vào Ukraine là cuộc xung đột với Nga.
“Trong bối cảnh cuộc chiến đang diễn ra ở Ukraine, các máy chủ email bị xâm nhập có thể tiết lộ thông tin nhạy cảm liên quan đến nỗ lực và kế hoạch chiến tranh của Ukraine, các mối quan hệ và đàm phán với các nước đối tác khi nước này tìm kiếm hỗ trợ kinh tế và quân sự bổ sung, [điều này] làm lộ thông tin hợp tác của các bên thứ ba. với chính phủ Ukraine một cách riêng tư và tiết lộ những rạn nứt trong liên minh hỗ trợ Ukraine”, báo cáo của Insikt lưu ý.
Trong khi đó, việc tập trung vào các đại sứ quán Iran ở Nga và Hà Lan có thể gắn liền với động cơ đánh giá các cam kết ngoại giao và quan điểm chính sách đối ngoại đang diễn ra của Iran, đặc biệt khi xem xét sự tham gia của Iran trong việc hỗ trợ Nga trong cuộc xung đột ở Ukraine.
Tương tự, hoạt động gián điệp nhắm vào Đại sứ quán Gruzia ở Thụy Điển và Bộ Quốc phòng Gruzia có thể xuất phát từ các mục tiêu tương tự do chính sách đối ngoại điều khiển, đặc biệt khi Georgia khôi phục lại việc theo đuổi tư cách thành viên Liên minh Châu Âu và gia nhập NATO sau khi Nga xâm nhập Ukraine vào thời kỳ đầu. 2022.
Các mục tiêu đáng chú ý khác bao gồm các tổ chức liên quan đến ngành hậu cần và vận tải, dựa trên bối cảnh cuộc chiến ở Ukraine, vì mạng lưới hậu cần mạnh mẽ đã tỏ ra rất quan trọng đối với cả hai bên trong việc duy trì khả năng chiến đấu của họ.
Phòng chống gián điệp mạng rất khó
Các chiến dịch gián điệp mạng đang gia tăng: Đầu tháng này, một nhóm APT tinh vi của Nga đã phát động một chiến dịch tấn công PowerShell có chủ đích nhằm vào quân đội Ukraine, trong khi một APT khác của Nga, Turla, nhắm vào các tổ chức phi chính phủ của Ba Lan bằng cách sử dụng một chiến dịch tấn công có chủ đích. phần mềm độc hại cửa sau mới.
Ukraina cũng có đã phát động các cuộc tấn công mạng của riêng mình chống lại Nga, nhắm mục tiêu vào các máy chủ của nhà cung cấp dịch vụ Internet M9 Telecom ở Moscow vào tháng XNUMX, để trả đũa việc Nga hậu thuẫn vi phạm nhà điều hành điện thoại di động Kyivstar.
Nhưng báo cáo của Insikt Group lưu ý rằng việc chống lại các cuộc tấn công như thế này có thể khó khăn, đặc biệt trong trường hợp khai thác lỗ hổng zero-day.
Tuy nhiên, các tổ chức có thể giảm thiểu tác động của sự xâm phạm bằng cách mã hóa email và xem xét các hình thức liên lạc an toàn thay thế để truyền thông tin đặc biệt nhạy cảm.
Điều quan trọng nữa là đảm bảo rằng tất cả các máy chủ và phần mềm đều được vá lỗi và cập nhật, đồng thời người dùng chỉ nên mở email từ những liên hệ đáng tin cậy.
Các tổ chức cũng nên hạn chế lượng thông tin nhạy cảm được lưu trữ trên máy chủ thư bằng cách thực hành vệ sinh tốt và giảm lưu giữ dữ liệu, đồng thời hạn chế thông tin và cuộc hội thoại nhạy cảm ở các hệ thống cấp cao an toàn hơn bất cứ khi nào có thể.
Báo cáo cũng lưu ý rằng việc tiết lộ các lỗ hổng có trách nhiệm, đặc biệt là các lỗ hổng do các tác nhân APT như TAG-70 khai thác, là rất quan trọng vì nhiều lý do.
Một nhà phân tích tình báo về mối đe dọa tại Tập đoàn Insikt của Recorded Future đã giải thích qua email rằng phương pháp này đảm bảo các lỗ hổng được vá và khắc phục nhanh chóng trước khi những người khác phát hiện và lạm dụng chúng, đồng thời cho phép ngăn chặn hành vi khai thác của những kẻ tấn công tinh vi, ngăn chặn tác hại trên diện rộng và nhanh hơn.
Nhà phân tích giải thích: “Cuối cùng, cách tiếp cận này giải quyết những rủi ro trước mắt và khuyến khích những cải tiến lâu dài trong thực tiễn an ninh mạng toàn cầu”.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military
