De Amerikaanse overheid en een coalitie van internationale partners hebben officieel een Russische hackersgroep aangesteld die wordt gevolgd als Cadet Blizzard bij het 161ste Specialistische Opleidingscentrum (Eenheid 29155) van de Algemene Staf Hoofd Inlichtingendienst (GRU).
“Deze cyberactoren zijn sinds ten minste 2020 verantwoordelijk voor computernetwerkoperaties tegen wereldwijde doelen met als doel spionage, sabotage en reputatieschade”, aldus de instanties.
“Sinds begin 2022 lijken cyberactoren zich vooral te richten op het aanvallen en verstoren van pogingen om hulp te bieden aan Oekraïne.”
De aanvallen waren vooral gericht op kritieke infrastructuur en belangrijke hulpbronnensectoren, waaronder overheidsdiensten, financiële dienstverlening, transportsystemen, energie en gezondheidszorg van de lidstaten van de Noord-Atlantische Verdragsorganisatie (NAVO), de Europese Unie, landen in Midden-Amerika en Azië.
Het gezamenlijke advies, vorige week uitgebracht als onderdeel van een gecoördineerde oefening genaamd Operatie Toy Soldier, komt van cybersecurity- en inlichtingendiensten in de VS, Nederland, Tsjechië, Duitsland, Estland, Letland, Oekraïne, Canada, Australië en het VK.
Cadet Blizzard, ook bekend als Ember Bear, FROZENVISTA, Nodaria, Ruinous Ursa, UAC-0056 en UNC2589, kreeg in januari 2022 aandacht door het inzetten van de destructieve malware WhisperGate (ook bekend als PAYWIPE) tegen meerdere Oekraïense slachtofferorganisaties ter voorbereiding op de volledige militaire invasie van het land door Rusland.
In juni 2024 werd een 22-jarige Rus genaamd Amin Timovich Stigal in de VS aangeklaagd voor zijn vermeende rol in het organiseren van destructieve cyberaanvallen op Oekraïne met behulp van de wiper-malware. Dat gezegd hebbende, zou het gebruik van WhisperGate niet uniek zijn voor de groep.
Het Amerikaanse ministerie van Justitie (DoJ) heeft inmiddels vijf agenten die verbonden zijn aan eenheid 29155 aangeklaagd voor deelname aan een samenzwering met als doel computerinbraak en fraude via internet tegen doelen in Oekraïne, de VS en 25 andere NAVO-landen.
De namen van de vijf officieren staan hieronder vermeld:
- Yuriy Denisov (Юрий Денисов), een kolonel in het Russische leger en een commandant van Cyber Operations voor Unit 29155
- Vladislav Borovkov (Владислав Боровков), Denis Denisenko (Денис Денисенко), Dmitriy Goloshubov (Дима Голошубов) en Nikolay Korchagin (Николай Корчагин), luitenants in het Russische leger dat was toegewezen aan eenheid 29155 en die aan cyberoperaties werkte
“De verdachten deden dit om bezorgdheid te zaaien onder Oekraïense burgers over de veiligheid van hun overheidssystemen en persoonlijke gegevens,” aldus het DoJ. “De doelen van de verdachten omvatten Oekraïense overheidssystemen en gegevens zonder militaire of defensiegerelateerde rollen. Latere doelen omvatten computersystemen in landen over de hele wereld die Oekraïne steunden.”
Gelijktijdig met de aanklacht heeft het programma Rewards for Justice van het Amerikaanse ministerie van Buitenlandse Zaken een beloning van maximaal 10 miljoen dollar aangekondigd voor informatie over de verblijfplaats van de verdachten of hun kwaadaardige cyberactiviteiten.
Er zijn aanwijzingen dat Eenheid 29155 verantwoordelijk is voor staatsgrepen, sabotage- en beïnvloedingsacties en moordpogingen in heel Europa. De tegenstander heeft zijn horizon sinds ten minste 2020 verbreed met offensieve cyberoperaties.
Het uiteindelijke doel van deze cyberaanvallen is het verzamelen van gevoelige informatie voor spionagedoeleinden, het veroorzaken van reputatieschade door het lekken van deze gegevens en het uitvoeren van destructieve operaties die erop gericht zijn systemen met waardevolle gegevens te saboteren.
Volgens het advies bestaat eenheid 29155 vermoedelijk uit jonge, actieve GRU-officieren die ook vertrouwen op bekende cybercriminelen en andere burgers, zoals Stigal, om hun missies te vergemakkelijken.
Hieronder vallen onder meer het verminken van websites, het scannen van de infrastructuur, het exfiltreren van gegevens en het lekken van gegevens, waarbij de informatie op openbare websitedomeinen wordt vrijgegeven of aan andere partijen wordt verkocht.
Aanvalsketens beginnen met scanactiviteiten die gebruikmaken van bekende beveiligingslekken in Atlassian Confluence Server en Data Center, Dahua Security en de firewall van Sophos om de omgevingen van slachtoffers binnen te dringen. Vervolgens wordt Impacket gebruikt voor post-exploitatie en laterale verplaatsing en uiteindelijk worden gegevens geëxfiltreerd naar een speciale infrastructuur.
“Cyberactoren hebben mogelijk Raspberry Robin-malware gebruikt in de rol van een access broker”, merkten de instanties op. “Cyberactoren hebben de Microsoft Outlook Web Access (OWA)-infrastructuur van slachtoffers aangevallen met password spraying om geldige gebruikersnamen en wachtwoorden te verkrijgen.”
Organisaties wordt aangeraden prioriteit te geven aan routinematige systeemupdates en bekende misbruikte kwetsbaarheden te verhelpen, netwerken te segmenteren om de verspreiding van schadelijke activiteiten te voorkomen en phishingbestendige multi-factor authenticatie (MFA) af te dwingen voor alle extern gerichte accountservices.