Exploatarea zero-day și infiltrarea organizațiilor cheie
Hackerii ruși sunt urmăriți și sub numele de Fighting Ursa, Fancy Bear și Sofacy, și au fost anterior legați de Direcția Principală de Informații a Rusiei (GRU), serviciul de informații militare al țării.
Aceștia au început să utilizeze vulnerabilitatea de securitate a Outlook ca zero-day în martie 2022, la trei săptămâni după ce Rusia a invadat Ucraina, pentru a viza Serviciul de Migrație al Statului Ucraina.
Între mijlocul lunii aprilie și decembrie 2022, au pătruns în rețelele a aproximativ 15 organizații guvernamentale, militare, energetice și de transport din Europa pentru a fura e-mailuri care pot conține informații militare pentru a susține invazia Rusiei în Ucraina.
Persistența după remedierea Zero-Day
Chiar dacă Microsoft a remediat zero-day-ul un an mai târziu, în martie 2023, și l-a legat de un grup de hackeri rus, operatorii APT28 au continuat să utilizeze exploatările CVE-2023-23397 pentru a fura credențiale care le-au permis să se deplaseze lateral prin rețelele compromise.
La câteva săptămâni după invazia Ucrainei, un actor de amenințare cunoscut sub numele de APT28 (cunoscut și sub numele de Fancy Bear, Fighting Ursa) a început să abuzeze de o vulnerabilitate zero-day în Microsoft Outlook pentru a viza Serviciul de Migrație al Statului Ucraina cu malware. Unit 42 declară că, într-o lună, au folosit aceeași vulnerabilitate - denumită CVE-2023-23397 - în mai multe campanii. În total, au fost vizate rețelele a aproximativ 15 organizații guvernamentale, militare, energetice și de transport din Europa. Rușii căutau e-mailuri cu informații militare, care ar putea sprijini efortul de război al țării.
Focalizarea extinsă a APT28 și valoarea exploatațiilor zero-day
Pe lângă instituțiile europene de apărare, afaceri externe și interne, atenția grupului APT28 s-a îndreptat către organizații critice de infrastructură implicate în producția și distribuția de energie, operațiuni de infrastructură de conducte, manipularea materialelor, personal și transport aerian.
Utilizarea exploatației zero-day împotriva unei ținte denotă importanța semnificativă a acelei ținte, indicând că accesul și informațiile existente la momentul respectiv erau insuficiente. În a doua și a treia campanie, Fighting Ursa a continuat să utilizeze o exploatare deja cunoscută public, sugerând că beneficiile accesului și informațiilor generate depășeau riscurile expunerii publice.
Utilizarea unei exploatații zero-day împotriva unei ținte indică faptul că aceasta are o valoare semnificativă. Sugerează, de asemenea, că accesul și informațiile existente pentru acea țintă au fost insuficiente la momentul respectiv.
Amenințarea la nivel global și repercusiunile la nivel național
În octombrie, Agenția Națională pentru Securitate Cibernetică din Franța (ANSSI) a dezvăluit că hackerii ruși au exploatat vulnerabilitatea de securitate a Outlook pentru a ataca diverse entități în Franța, de la instituții guvernamentale și corporații la instituții educaționale și think-tank-uri.
Recent, Regatul Unit și aliații săi din cadrul alianței de informații Five Eyes au identificat și asociat un grup de amenințare rus, cunoscut sub numele de Callisto Group, Seaborgium și Star Blizzard, cu divizia 'Centre 18' a Serviciului Federal de Securitate al Rusiei.
Analiza amenințărilor din partea Microsoft a dus la neutralizarea atacurilor Callisto împotriva mai multor națiuni NATO europene, prin dezactivarea conturilor Microsoft folosite de actorii de amenințare pentru supraveghere și colectarea de e-mailuri.
Amenințarea la nivel global a fost evidentă și în atacurile îndreptate împotriva Franței, unde hackerii ruși au vizat diverse entități. Represaliile au venit din partea Regatului Unit și a aliaților din cadrul alianței de informații Five Eyes, care au asociat grupul de amenințare rus Callisto Group cu serviciul de securitate rus Centre 18.
Analiza detaliată a atacurilor și acțiunile rapide întreprinse de Microsoft au dus la contracararea unor atacuri împotriva națiunilor NATO europene. Guvernul SUA a recunoscut seriozitatea amenințării și a reacționat prin oferirea unei recompense semnificative pentru informații care ar contribui la identificarea membrilor și activităților grupului Callisto. Această situație subliniază de ce e importantă cooperarea internaționale în lupta împotriva amenințărilor cibernetice.