Tsjechië en Duitsland hebben vrijdag onthuld dat zij het doelwit zijn van een langdurige cyberspionagecampagne, uitgevoerd door de aan Rusland gelieerde natiestaatacteur bekend als APT28, die veroordeling oproept van de Europese Unie (EU), de Noord-Atlantische Verdragsorganisatie (NAVO). ), Groot-Brittannië en de VS
Het Tsjechische ministerie van Buitenlandse Zaken (MFA) zei in een verklaring dat een aantal niet bij naam genoemde entiteiten in het land zijn aangevallen via een beveiligingsfout in Microsoft Outlook die begin vorig jaar aan het licht kwam.
“Cyberaanvallen gericht op politieke entiteiten, staatsinstellingen en kritieke infrastructuur vormen niet alleen een bedreiging voor de nationale veiligheid, maar verstoren ook de democratische processen waarop onze vrije samenleving is gebaseerd”, aldus de MFA.
Het beveiligingslek in kwestie is CVE-2023-23397, een nu gepatchte kritieke privilege-escalatiebug in Outlook waarmee een tegenstander toegang kan krijgen tot Net-NTLMv2-hashes en deze vervolgens kan gebruiken om zichzelf te authenticeren door middel van een relay-aanval.
De Duitse federale regering (ook bekend als Bundesregierung) schreef de bedreiging toe aan een cyberaanval gericht op het Uitvoerend Comité van de Sociaal-Democratische Partij, waarbij gedurende een “relatief lange periode” dezelfde Outlook-kwetsbaarheid werd gebruikt, waardoor het “talloze e-mailaccounts in gevaar kon brengen”.
Enkele van de verticale sectoren waarop de campagne zich richt, zijn onder meer de logistiek, bewapening, de lucht- en ruimtevaartindustrie, IT-diensten, stichtingen en verenigingen in Duitsland, Oekraïne en Europa, waarbij de Bundesregierung de groep ook betrekt bij de aanval op 2015. het Duitse federale parlement (Bundestag).
APT28, waarvan wordt aangenomen dat het verband houdt met militaire eenheid 26165 van de militaire inlichtingendienst GRU van de Russische Federatie, wordt ook gevolgd door de bredere cyberbeveiligingsgemeenschap onder de namen BlueDelta, Fancy Bear, Forest Blizzard (voorheen Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy en TA422.
Eind vorige maand schreef Microsoft de hackgroep toe aan de exploitatie van een Microsoft Windows Print Spooler-component (CVE-2022-38028, CVSS-score: 7,8) als een zero-day om een voorheen onbekende aangepaste malware genaamd GooseEgg af te leveren om Oekraïense, westerse Europese en Noord-Amerikaanse overheids-, niet-gouvernementele organisaties, organisaties uit de onderwijs- en transportsector.
De NAVO zei dat de hybride acties van Rusland “een bedreiging vormen voor de geallieerde veiligheid”. De Raad van de Europese Unie stemde ook in en stelde dat de “kwaadwillige cybercampagne het voortdurende patroon van Ruslands onverantwoordelijke gedrag in cyberspace laat zien.”
“De recente activiteiten van de Russische GRU-cybergroep APT28, waaronder het aanvallen van de directeur van de Duitse Sociaal-Democratische Partij, zijn de laatste in een bekend gedragspatroon van de Russische inlichtingendiensten om democratische processen over de hele wereld te ondermijnen”, aldus de Britse regering.
Het Amerikaanse ministerie van Buitenlandse Zaken beschreef APT28 als bekend om zijn betrokkenheid bij “kwaadaardig, snode, destabiliserend en ontwrichtend gedrag” en dat het zich inzet voor de “veiligheid van onze bondgenoten en partners en het handhaven van de op regels gebaseerde internationale orde, ook in cyberspace.”
Eerder deze februari ontwrichtte een gecoördineerde wetshandhavingsactie een botnet bestaande uit honderden kleine kantoor- en thuiskantoorrouters (SOHO) in de VS en Duitsland, die de APT28-actoren zouden hebben gebruikt om hun kwaadwillige activiteiten te verbergen, zoals de uitbuiting van CVE. -2023-23397 tegen een aantal interessante doelen.
Volgens een rapport van cyberbeveiligingsbedrijf Trend Micro deze week dateert het criminele proxy-botnet van derden uit 2016 en bestaat het uit meer dan alleen routers van Ubiquiti, maar omvat het ook andere op Linux gebaseerde routers, Raspberry Pi en virtual private servers (VPS). .
“De dreigingsactor (achter het botnet) slaagde erin enkele EdgeRouter-bots over te zetten van de C&C-server (command-and-control) die op 26 januari 2024 werd uitgeschakeld, naar een nieuw opgezette C&C-infrastructuur begin februari 2024. ”, aldus het bedrijf, waarbij juridische beperkingen en technische uitdagingen een grondige opruiming van alle verstrikte routers verhinderden.
Door de Russische staat gesponsorde cyberdreigingsactiviteiten – gegevensdiefstal, destructieve aanvallen, DDoS-campagnes en beïnvloedingsoperaties – zullen naar verwachting ook een ernstig risico vormen voor verkiezingen in regio’s als de VS, het VK en de EU van meerdere groepen zoals APT44 ( ook bekend als Sandworm), COLDRIVER, KillNet, APT29 en APT28, volgens een beoordeling die vorige week werd vrijgegeven door Google Cloud-dochter Mandiant.
“In 2016 compromitteerde het aan GRU gekoppelde APT28 de doelstellingen van de Amerikaanse Democratische Partij, evenals het persoonlijke verhaal van de campagnevoorzitter van de Democratische presidentskandidaat, en orkestreerde een lekcampagne voorafgaand aan de Amerikaanse presidentsverkiezingen van 2016”, aldus onderzoekers Kelli Vanderlee en Jamie Collier.
Bovendien laten gegevens van Cloudflare en NETSCOUT een stijging zien in het aantal DDoS-aanvallen gericht op Zweden na de aanvaarding ervan in de NAVO-alliantie, wat een weerspiegeling is van het patroon dat werd waargenomen tijdens de toetreding van Finland tot de NAVO in 2023.
“De waarschijnlijke boosdoeners van deze aanvallen waren onder meer de hackergroepen NoName057, Anonymous Sudan, Russian Cyber Army Team en KillNet”, aldus NETSCOUT. “Al deze groepen zijn politiek gemotiveerd en ondersteunen Russische idealen.”
De ontwikkelingen komen op het moment dat overheidsinstanties uit Canada, Groot-Brittannië en de VS een nieuw gezamenlijk informatieblad hebben vrijgegeven om kritieke infrastructuurorganisaties te helpen beschermen tegen aanhoudende aanvallen van ogenschijnlijke pro-Russische hacktivisten tegen industriële controlesystemen (ICS) en kleinschalige operationele systemen. technologie (OT) systemen sinds 2022.
“De pro-Russische hacktivistische activiteit lijkt grotendeels beperkt te zijn tot ongekunstelde technieken die ICS-apparatuur manipuleren om hinderlijke effecten te creëren”, aldus de instanties. “Uit onderzoek is echter gebleken dat deze actoren in staat zijn tot technieken die fysieke bedreigingen vormen voor onveilige en verkeerd geconfigureerde OT-omgevingen.”
Doelwitten van deze aanvallen zijn organisaties in de Noord-Amerikaanse en Europese kritieke infrastructuursectoren, waaronder water- en afvalwatersystemen, dammen, energie, en de voedsel- en landbouwsector.
Er is waargenomen dat de hacktivistische groepen toegang op afstand verkregen door misbruik te maken van openbaar toegankelijke internetverbindingen en van standaardwachtwoorden die verband houden met human machine interfaces (HMI's) die in dergelijke omgevingen gangbaar zijn, gevolgd door het knoeien met bedrijfskritische parameters, het uitschakelen van alarmmechanismen, en operators buitensluiten door beheerderswachtwoorden te wijzigen.
Aanbevelingen om de dreiging te beperken zijn onder meer het versterken van mens-machine-interfaces, het beperken van de blootstelling van OT-systemen aan internet, het gebruik van sterke en unieke wachtwoorden en het implementeren van multi-factor authenticatie voor alle toegang tot het OT-netwerk.
“Deze hacktivisten proberen modulaire, aan het internet blootgestelde industriële controlesystemen (ICS) te compromitteren via hun softwarecomponenten, zoals human machine interfaces (HMI’s), door gebruik te maken van virtual network computing (VNC) software voor externe toegang en standaardwachtwoorden”, aldus de waarschuwing. .