Krievijas Galvenā izlūkošanas pārvalde esot piekļuvusi lērumam loģistikas uzņēmumu, kas ļauj valstij izsekot Ukrainas militārajam atbalstam.
Fancy Bear, bēdīgi slavenais Krievijas valsts sponsorētais draudu aģents, ir izspiegojis “desmitiem” organizāciju no Rietumu un NATO valstīm, uzraugot ārvalstu palīdzības plūsmu uz Ukrainu.
Tas teikts kopīgā kiberdrošības ieteikumā [PDF], ko publicējušas 21 valdības aģentūra no ASV, Apvienotās Karalistes, Kanādas, Vācijas, Francijas, Čehijas, Polijas, Austrijas, Dānijas un Nīderlandes.
Saskaņā ar ziņojumu Fancy Bear (pazīstams arī kā APT28) mērķtiecīgi vērsās pret loģistikas pakalpojumu sniedzējiem, tehnoloģiju uzņēmumiem un valdības organizācijām, kas iesaistītas palīdzības transportēšanā uz Ukrainu.
Tika aptverti visi transporta veidi, tostarp gaisa, jūras un dzelzceļa transports. Organizācijas aptvēra dažādas nozares – no aizsardzības, transporta, jūras un gaisa satiksmes pārvaldības līdz IT pakalpojumiem.
Pilnvarojuma dokumentu iepakošana
Uzņēmumi, pret kuriem vērsās Krievijas sponsorētais grupējums, darbojās Bulgārijā, Čehijā, Francijā, Vācijā, Grieķijā, Itālijā, Moldovā, Nīderlandē, Polijā, Rumānijā, Slovākijā, Ukrainā, Polijā, Slovākijā, Francijā, Vācijā un ASV.
Turklāt hakeri ar to pašu mērķi uzraudzīja arī videonovērošanas kameras robežšķērsošanas vietās.
Lai iegūtu sākotnējo piekļuvi, APT28 paļāvās uz pilnvaru uzminēšanu un uzbrukumiem ar brutālu spēku. Viņi rīkoja arī pikšķerēšanas kampaņas un izmantoja programmatūras ievainojamības.
Izmantojot CVE-2023-23397, viņi izmantoja Microsoft Exchange, Roundcube Webmail un WinRAR, kas ļāva viņiem iekļūt ar jutīgu informācijiu piesātinātajās sistēmās.
Visbeidzot, viņi pievērsās korporatīvajiem VPN un neaizsargātām SQL datubāzēm. Pēc šo tīklu kompromitēšanas, grupējums spēja veiksmīgi un brīvi kustēties šo tīklu ietvaros, izmantojot tādus rīkus kā PsExec un Impacket.
Uzbrucēji manipulēja ar e-pasta pastkastīšu atļaujām un izmantoja Tor un VPN, lai paliktu nepamanīti, vienlaikus uzraugot jutīgu saziņu.
Krievijas un Ukrainas konflikts parādīja, cik ļoti pēdējo gadu laikā ir mainījusies karadarbība. Papildus ierastajām frontēm – sauszemei, jūrai un gaisam – par galveno kaujas lauku ir kļuvusi kibertelpa, kurā hakeri un kibernoziedznieki abās pusēs vēršas pret sensitīvu informāciju un kritisko infrastruktūru.
Šim uzbrukumam “būtu jākalpo kā atgādinājumam, ka kiberfizikālās sistēmas tagad ir stratēģiski mērķi pretiniekiem,” komentēja Endrjū Lintels, Claroty EMEA ģenerāldirektors.
“Lai ar to cīnītos, organizācijām ir nepieciešama pilnīga šo vidu redzamība un uz risku balstīta pieeja to aizsardzībai. Daudzas no šīm ierīcēm, piemēram, drošības kameras, netika izstrādātas, domājot par mūsdienu draudiem, tāpēc tās kļūst arvien neaizsargātākas.”
Avots: TechRadar
