Ρώσοι χάκερ APT28 παραβιάζουν τους διακομιστές email της ουκρανικής κυβέρνησης
Related Posts
Εικόνα:
Bing
Image Creator
Μια ομάδα απειλών που παρακολουθείται ως APT28 και συνδέεται με την Κεντρική Διεύθυνση Πληροφοριών του Γενικού Επιτελείου της Ρωσίας (GRU) παραβίασε τους διακομιστές ηλεκτρονικού ταχυδρομείου Roundcube που ανήκουν σε πολλούς ουκρανικούς οργανισμούς, συμπεριλαμβανομένων κυβερνητικών φορέων.
Σε αυτές τις επιθέσεις, η ομάδα κυβερνοκατασκοπείας (επίσης γνωστή ως BlueDelta, Fancy Bear, Sednit και Sofacy) αξιοποίησε ειδήσεις σχετικά με τη συνεχιζόμενη σύγκρουση μεταξύ Ρωσίας και Ουκρανίας για να εξαπατήσει τους παραλήπτες ώστε να ανοίξουν κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που θα εκμεταλλεύονταν τις ευπάθειες του Roundcube Webmail για να χακάρουν σε μη επιδιορθωμένα διακομιστές.
Μετά την παραβίαση των διακομιστών email, οι χάκερ της ρωσικής στρατιωτικής υπηρεσίας ανέπτυξαν κακόβουλα σενάρια που ανακατεύθυναν τα εισερχόμενα email στοχευμένων ατόμων σε μια διεύθυνση ηλεκτρονικού ταχυδρομείου υπό τον έλεγχο των εισβολέων.
Αυτά τα σενάρια χρησιμοποιήθηκαν επίσης για αναγνώριση και για την κλοπή του βιβλίου διευθύνσεων Roundcube των θυμάτων, των cookies περιόδου λειτουργίας και άλλων πληροφοριών που ήταν αποθηκευμένες στη βάση δεδομένων του Roundcube.
Με βάση τα στοιχεία που συλλέχθηκαν κατά τη διάρκεια της έρευνας, ο στόχος της εκστρατείας ήταν η συλλογή και η κλοπή στρατιωτικών πληροφοριών για την υποστήριξη της εισβολής της Ρωσίας στην Ουκρανία, σύμφωνα με μια κοινή έρευνα που διεξήχθη από την Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών (Computer Emergency Response Team) της Ουκρανίας.
CERT-UA
) και το τμήμα έρευνας απειλών του Recorded Future
Insikt Group
.
Εκτιμάται επίσης ότι η υποδομή που χρησιμοποιούν οι στρατιωτικοί χάκερ του APT28 σε αυτές τις επιθέσεις είναι λειτουργική από τον Νοέμβριο του 2021 περίπου.
«Εντοπίσαμε δραστηριότητα BlueDelta που είναι πολύ πιθανό να στοχεύει μια περιφερειακή ουκρανική εισαγγελία και μια κεντρική εκτελεστική αρχή της Ουκρανίας, καθώς και αναγνωριστική δραστηριότητα που περιλαμβάνει πρόσθετες κυβερνητικές οντότητες της Ουκρανίας και έναν οργανισμό που εμπλέκεται στην αναβάθμιση και ανακαίνιση υποδομής ουκρανικών στρατιωτικών αεροσκαφών», η Insikt Group.
είπε
.
«Η αναλυόμενη καμπάνια
phishing
BlueDelta εκμεταλλεύεται τα τρωτά σημεία
CVE-2020-35730
,
CVE-2020-12641
και
CVE-2021-44026
στο λογισμικό ηλεκτρονικού ταχυδρομείου ανοιχτού κώδικα Roundcube για την εκτέλεση πολλαπλών σεναρίων αναγνώρισης και εξαγωγής.”
Επικάλυψη με προηγούμενες εκστρατείες κυβερνοκατασκοπείας
Συγκεκριμένα, το Recorded Future λέει ότι αυτή η καμπάνια επικαλύπτεται με προηγούμενες επιθέσεις που συνδέονται με το APT28 όταν εκμεταλλεύτηκαν μια κρίσιμη ευπάθεια του
Microsoft
Outlook zero-day (
CVE-2023-23397
) για να στοχεύσετε ευρωπαϊκούς οργανισμούς σε επιθέσεις που επίσης δεν απαιτούσαν αλληλεπίδραση με τον χρήστη.
Το APT28 Outlook και η δραστηριότητα Roundcube επικαλύπτονται (Recorded Future’s Insikt Group)
Χρησιμοποίησαν το σφάλμα zero-day για να υποκλέψουν διαπιστευτήρια που βοήθησαν να μετακινηθούν πλευρικά μέσα στα δίκτυα των θυμάτων και να αλλάξουν τα δικαιώματα του φακέλου γραμματοκιβωτίου του Outlook για την εξαγωγή email για συγκεκριμένους λογαριασμούς.
Στην εκστρατεία του Outlook, οι χάκερ της GRU παραβίασαν τα δίκτυα περίπου 15 κυβερνητικών, στρατιωτικών, ενεργειακών και μεταφορών οργανισμών μεταξύ των μέσων Απριλίου και του Δεκεμβρίου 2022.
Η Ομάδα Ανάλυσης Απειλών της
Google
αποκάλυψε επίσης πρόσφατα ότι περίπου το 60% όλων των μηνυμάτων ηλεκτρονικού ψαρέματος που στόχευαν την Ουκρανία το πρώτο τρίμηνο του 2023 στάλθηκαν από Ρώσους εισβολείς, με την ομάδα
hacking
APT28 έναν από τους σημαντικότερους συνεισφέροντες σε αυτήν την κακόβουλη δραστηριότητα.
Τον Απρίλιο του 2023, οι υπηρεσίες πληροφοριών των ΗΠΑ και του Ηνωμένου Βασιλείου προειδοποίησαν για επιθέσεις APT28 που εκμεταλλεύονται ένα ελάττωμα μηδενικής ημέρας στους δρομολογητές της Cisco για να αναπτύξουν ένα κακόβουλο λογισμικό Jaguar Tooth που βοηθά στη συλλογή πληροφοριών από στόχους που εδρεύουν στις ΗΠΑ και την ΕΕ.
Το APT28 είναι επίσης γνωστό για την εμπλοκή του σε χακάρισμα του γερμανικού ομοσπονδιακού κοινοβουλίου (Deutscher Bundestag) το 2015 και για επιθέσεις στην Επιτροπή Εκστρατείας του Δημοκρατικού Κογκρέσου (DCCC) και στη Δημοκρατική Εθνική Επιτροπή (DNC) το 2016 (για την οποία κατηγορήθηκαν από τις ΗΠΑ δύο χρόνια αργότερα).
Το Συμβούλιο της Ευρωπαϊκής Ένωσης επέβαλε κυρώσεις στα μέλη της APT28 τον Οκτώβριο του 2020 για τη συμμετοχή τους στο χακάρισμα του 2015 της Γερμανικής Bundestag.
