Rusijos įsilaužėliai atakuoja NATO greitojo reagavimo pajėgas

Išnaudodami „Outlook Zero-Day“, Rusijos programišiai nusitaikė į NATO greitojo reagavimo pajėgas

Rusijos programišiai nusitaikė į NATOTarptautinės pastangos apsaugoti svarbias organizacijas intensyvėja, kadangi Rusijos programišiai nepaliaujamai stengiasi įsilaužti į sistemas

Rusijos kariniai kibernetiniai įsilaužėliai pradėjo eilę kibernetinių atakų prieš NATO greitojo reagavimo pajėgas[1], taip sukeldami didelę grėsmę Aljanso gebėjimui greitai reaguoti į krizes. Per pastaruosius 20 mėnesių užpuolikai, žinomi APT28 arba Fighting Ursa vardu, nuolat taikėsi į Europos NATO nares ir svarbias organizacijas, pasinaudodami „Microsoft Outlook zero-day“ pažeidžiamumu.

Maždaug dvejus metus „Palo Alto Networks“ 42 skyriaus[2] tyrėjai stebėjo tris didelio masto įsilaužimo atakas, kurias koordinavo APT28. Išpuoliai buvo nukreipti prieš daugiau nei 30 grupių iš 14 skirtingų šalių, kurias Rusijos kariuomenė ir administracija laikė strategiškai svarbiomis. Įdomu tai, kad įsilaužėliai savo veiklą pradėjo 2022 metų kovą, praėjus tik trims savaitėms po Rusijos įsiveržimo į Ukrainą.

Nuo 2022 m. balandžio vidurio iki gruodžio mėn. APT28 sugebėjo sėkmingai sukompromituoti Europos vyriausybės, kariuomenės, energetikos ir transporto tinklus. Pagrindinis jų tikslas buvo pavogti el. laiškus, kuriuose galėjo būti karinės žvalgybos informacijos, tokiu būdu tikėdamiesi pridengti Rusijos invaziją į Ukrainą.

Pagrindinis Rusijos programišių darbas – nesiliaujantis strateginės informacijos ieškojimas

„Microsoft“ ištaisė „zero-day“ pažeidimą 2023 metų kovo mėnesį, tačiau APT28 ir toliau naudojo CVE-2023-23397 pažeidžiamumą, kad gautų įgaliojimus, kurie leido jiems sėkmingai judėti per užkrėstus tinklus. Gegužės mėn. užpuolikai padidino savo atakos apimtį pasinaudodami nauju apėjimo būdu (CVE-2023-29324), kuris paveikė visas „Outlook“ versijas „Windows“ sistemoje.

Šios atakos paveikia gyvybiškai svarbias infrastruktūros įmones, susijusias su energijos gamyba, paskirstymu, vamzdynų eksploatavimu, medžiagų tvarkymu, žmonėmis ir oro transportu, be to į tai įeina ir Europos gynybos, užsienio reikalų ir vidaus reikalų departamentai.

Faktas, kad kiekviena iš Europos šalių, į kurią buvo taikytasi, – neskaitant Ukrainos – yra dabartinė NATO narė, parodo, koks rimtas šis kibernetinių nusikaltėlių klausimas. Deja, šie įvykę kibernetiniai pažeidimai palietė bent vieną NATO greitojo dislokavimo korpusą, kuris yra atsakingas už greitą NATO pajėgų dislokavimą ir vadovavimą joms.

42 skyriaus specialistai pabrėžia programišių poreikį naudoti „zero-day“ pažeidimą, kuris taip pat pabrėžia didelę taikinio vertę ir esamos prieigos bei žvalgybos trūkumą. Atkaklios kritinės žvalgybos paieškos rodo, kaip aukštai šios institucijos vertino Rusijos žvalgybą.

Viešai pripažinta, jog Rusijos įsilaužėliai pasinaudojo saugumo spragomis

Ši išvada padaryta po to, kai spalio mėnesį Prancūzijos kibernetinio saugumo agentūra pripažino, kaip Rusijos įsilaužėliai pasinaudojo „Outlook“ saugumo spraga, kad atakuotų daugelį Prancūzijos organizacijų. Rusijos grėsmių grupę „Callisto Group“ Jungtinė Karalystė ir jos žvalgybos aljansas „Penkios akys“ susiejo su Rusijos Federalinės saugumo tarnybos (FSB) skyriumi.

Pastarieji įvykiai parodo, jog šios problemos yra ilgalaikės, nes pasaulio bendruomenė nepailstamai stengiasi suvaldyti augančias kibernetines grėsmes, kurias koordinuoja valstybės remiamos įsilaužėlių organizacijos Rusijoje. Agresyvūs „Microsoft“ žingsniai, siekiant sustabdyti „Callisto Group“ vykdomą Europos NATO narių atakavimą, rodo, jog IT įmonėms itin svarbu greitai kovoti su iškylančiomis grėsmėmis.

Tačiau didėjant pavojaus tikimybei, vyriausybės, žvalgybos tarnybos ir įmonių sektorius turi reaguoti visapusiškai ir sistemingai. JAV vyriausybės skirtas 10 milijonų dolerių prizas[3] pabrėžia būtinybę paspartinti tarptautinio kibernetinio saugumo pastangas, siekiant apsaugoti gyvybiškai svarbią infrastruktūrą ir nacionalinį saugumą, demonstruojant įsipareigojimą nustatyti ir sulaikyti asmenis, atsakingus už šias destruktyvias operacijas. Koordinuotos veiklos būtinybę aplenkti didėjančias kibernetines grėsmes pabrėžia tautų tarpusavio ryšys skaitmeninėje srityje.

Veikiausiai ateityje įvairios svarbios organizacijos ir valstybių valdžios organai sulauks ne ką mažiau bandymų įsilaužti į jų sistemas. Todėl būtina nuolatos stiprinti kibernetinę apsaugą ir pasirūpinti, jog sėkmingo įsilaužimo tikimybė būtų kuo mažesnė.

Apie autorių
Gabriel E. Hall
Gabriel E. Hall - Entuziastinga virusų tyrėja

Gabrielė E. Hall yra entuziastinga virusų tyrėja, kuri dirba Virusai.lt portale beveik dešimtmetį.

Susisiekite su Gabriel E. Hall
Apie kompaniją Esolutions

Šaltiniai
Failai
Programos
Palygink