Ρώσοι στρατιωτικοί χάκερ APT28 χρησιμοποίησαν εκμεταλλεύσεις μηδενικής ημέρας του Microsoft Outlook για να στοχεύσουν πολλές ευρωπαϊκές χώρες-μέλη του ΝΑΤΟ, συμπεριλαμβανομένου ενός ΝΑΤΟ Rapid Deployable Corps.
Ερευνητές από τη Μονάδα 42 του Palo Alto Networks τους παρατήρησαν να εκμεταλλεύονται την ευπάθεια CVE-2023-23397 για περίπου 20 μήνες σε τρεις εκστρατείες εναντίον τουλάχιστον 30 οργανισμών σε 14 έθνη που θεωρούνται πιθανώς σημαντικής στρατηγικής νοημοσύνης για τον στρατό και την κυβέρνηση της Ρωσίας.
Οι Ρώσοι χάκερ παρακολουθούνται επίσης ως Fighting Ursa, Fancy Bear και Sofacy και είχαν προηγουμένως συνδεθεί με την Κεντρική Διεύθυνση Πληροφοριών της Ρωσίας (GRU), τη στρατιωτική υπηρεσία πληροφοριών της χώρας.
Άρχισαν να χρησιμοποιούν το ελάττωμα ασφαλείας του Outlook ως μηδενική ημέρα τον Μάρτιο του 2022, τρεις εβδομάδες μετά την εισβολή της Ρωσίας στην
Ουκρανία
, για να στοχεύσουν την Κρατική Υπηρεσία Μετανάστευσης της Ουκρανίας.
Μεταξύ των μέσων Απριλίου και του Δεκεμβρίου του 2022, παραβίασαν τα δίκτυα περίπου 15 κυβερνητικών, στρατιωτικών, ενεργειακών και μεταφορών οργανισμών στην Ευρώπη για να κλέψουν email που ενδεχομένως περιείχαν στρατιωτικές πληροφορίες για να υποστηρίξουν την εισβολή της Ρωσίας στην Ουκρανία.
Παρόλο που η Microsoft διορθώθηκε το zero-day ένα χρόνο αργότερα, τον Μάρτιο του 2023, και συνδέθηκε με μια ρωσική ομάδα hacking, οι χειριστές του APT28 συνέχισαν να χρησιμοποιούν τα εκμεταλλεύσεις CVE-2023-23397 για να κλέψουν διαπιστευτήρια που τους επέτρεπαν να μετακινούνται πλευρικά μέσω παραβιασμένων δικτύων.
Η επιφάνεια επίθεσης αυξήθηκε ακόμη περισσότερο τον Μάιο, όταν εμφανίστηκε μια παράκαμψη (CVE-2023-29324) που επηρέαζε όλες τις εκδόσεις του Outlook Windows.
APT28 κακόβουλο αίτημα εργασίας του Outlook (Μονάδα 42)
Στόχοι σε σώμα ταχείας ανάπτυξης του ΝΑΤΟ
Σήμερα,
Η ενότητα 42 είπε
ότι μεταξύ των ευρωπαϊκών εθνών που δέχθηκαν επίθεση, όλες οι χώρες που προσδιορίστηκαν είναι σημερινά μέλη του Οργανισμού Βορειοατλαντικής Συνθήκης (ΝΑΤΟ), εξαιρουμένης της Ουκρανίας.
Το
υλάχιστον ένα Σώμα Ταχείας Ανάπτυξης του ΝΑΤΟ (Αρχηγείο Δυνάμεων Υψηλής Ετοιμότητας ικανό για ταχεία ανάπτυξη για να διοικήσει τις δυνάμεις του ΝΑΤΟ) ήταν επίσης στόχος.
Επιπλέον, πέρα από τους οργανισμούς Ευρωπαϊκής Άμυνας, Εξωτερικών Υποθέσεων και Εσωτερικών Υποθέσεων, η εστίαση του APT28 επεκτάθηκε σε οργανισμούς υποδομής ζωτικής σημασίας που εμπλέκονται στην παραγωγή και διανομή ενέργειας, στις υποδομές αγωγών και στη διαχείριση υλικών, στο προσωπικό και στις αεροπορικές μεταφορές.
“Η χρήση μιας εκμετάλλευσης μηδενικής ημέρας εναντίον ενός στόχου υποδεικνύει ότι έχει σημαντική αξία. Υποδηλώνει επίσης ότι η υπάρχουσα πρόσβαση και η ευφυΐα για αυτόν τον στόχο ήταν ανεπαρκείς εκείνη τη στιγμή”, ανέφερε η Μονάδα 42.
“Στη δεύτερη και τρίτη εκστρατεία, η Fighting Ursa συνέχισε να χρησιμοποιεί ένα δημοσίως γνωστό κατόρθωμα που τους είχε ήδη αποδοθεί, χωρίς να αλλάξει τις τεχνικές τους. Αυτό υποδηλώνει ότι η πρόσβαση και η ευφυΐα που προέκυψαν από αυτές τις επιχειρήσεις υπερίσχυαν τις συνέπειες της δημόσιας εξόδου και ανακάλυψης.
«Για αυτούς τους λόγους, οι οργανώσεις που στοχοποιήθηκαν και στις τρεις εκστρατείες ήταν πιθανότατα υψηλότερη από την κανονική προτεραιότητα για τις ρωσικές υπηρεσίες πληροφοριών».
Τον Οκτώβριο, η γαλλική υπηρεσία
κυβερνοασφάλεια
ς (ANSSI) αποκάλυψε ότι Ρώσοι χάκερ χρησιμοποίησαν το ελάττωμα ασφαλείας του Outlook για να επιτεθούν σε κυβερνητικούς φορείς, εταιρείες, εκπαιδευτικά ιδρύματα, ερευνητικά κέντρα και δεξαμενές σκέψης σε όλη τη Γαλλία.
Αυτή την εβδομάδα, το
Ηνωμένο Βασίλειο
και οι σύμμαχοι της συμμαχίας πληροφοριών Five Eyes συνέδεσαν επίσης μια ρωσική ομάδα απειλών που παρακολουθείται ως Callisto Group, Seaborgium και Star Blizzard με το τμήμα της Ομοσπονδιακής Υπηρεσίας Ασφαλείας (FSB) της Ρωσίας «Centre 18».
Οι αναλυτές απειλών της Microsoft απέτρεψαν τις επιθέσεις Callisto που στόχευαν σε πολλά ευρωπαϊκά έθνη του ΝΑΤΟ απενεργοποιώντας τους λογαριασμούς Microsoft που χρησιμοποιούνται από τους φορείς απειλών για παρακολούθηση και συλλογή email.
Η κυβέρνηση των ΗΠΑ προσφέρει τώρα
ανταμοιβή 10 εκατομμυρίων δολαρίων
για πληροφορίες σχετικά με τα μέλη της Callisto και τις δραστηριότητές τους.
VIA:
bleepingcomputer.com
