Μια μακροχρόνια εκστρατεία κυβερνοκατασκοπείας, που αποδίδεται στη ρωσική κρατική ομάδα APT28 – γνωστή και ως Fancy Bear ή Forest Blizzard – έχει θέσει στο στόχαστρό της διεθνείς οργανισμούς και κρίσιμες υποδομές από το 2022, με κύριο στόχο την υπονόμευση των προσπαθειών υποστήριξης της Ουκρανίας.
Σύμφωνα με αναφορές, οι επιθέσεις επικεντρώθηκαν σε στρατηγικούς τομείς όπως η άμυνα, οι μεταφορές, οι υπηρεσίες πληροφορικής, η διαχείριση εναέριας κυκλοφορίας και η ναυτιλία, με στόχους σε 12 ευρωπαϊκές χώρες αλλά και στις Ηνωμένες Πολιτείες.
Ιδιαίτερη ανησυχία προκαλεί το γεγονός ότι οι χάκερ παρακολουθούσαν τη διακίνηση στρατιωτικού και ανθρωπιστικού υλικού προς την Ουκρανία, αποκτώντας παράνομα πρόσβαση σε ιδιωτικές κάμερες ασφαλείας εγκατεστημένες σε ευαίσθητες τοποθεσίες, όπως συνοριακά περάσματα, στρατιωτικές βάσεις και σιδηροδρομικούς σταθμούς.
Δείτε επίσης: Ρώσοι χάκερ αναπτύσσουν τα backdoor SilentPrism και DarkWisp
Η κλιμακούμενη αυτή απειλή έχει κινητοποιήσει τη διεθνή κοινότητα: 21 κρατικές υπηρεσίες πληροφοριών και κυβερνοασφάλειας από σχεδόν δώδεκα χώρες εξέδωσαν κοινή προειδοποίηση, στην οποία καταγράφονται λεπτομερώς οι τακτικές, τεχνικές και διαδικασίες (TTPs) που χρησιμοποιεί η APT28. Η hacking ομάδα συνδέεται με το 85ο Κέντρο Ειδικών Υπηρεσιών (GTsSS) του Γενικού Επιτελείου Πληροφοριών της Ρωσίας (GRU), γνωστό και ως στρατιωτική μονάδα 26165.
H APT28 συνδυάζει διαφορετικές τεχνικές για να αποφύγει εντοπισμό
Η ρωσική ομάδα κυβερνοκατασκοπείας APT28 φαίνεται να έχει κλιμακώσει τη δραστηριότητά της από το 2022, χρησιμοποιώντας ένα ευρύ φάσμα τεχνικών για την παραβίαση οργανισμών στρατηγικής σημασίας. Σύμφωνα με νεότερη έκθεση ασφαλείας, η ρωσική APT αξιοποιεί τακτικές όπως password spraying, στοχευμένο spear-phishing και γνωστά exploits σε Microsoft Exchange, προκειμένου να εισχωρήσει σε εταιρικά περιβάλλοντα.
Αφού αποκτήσουν αρχική πρόσβαση στον βασικό στόχο, οι δράστες στοχεύουν άλλες επιχειρήσεις — κυρίως στον κλάδο των μεταφορών — που συνδέονται με το αρχικό θύμα. Οι hackers εκμεταλλεύονται τις σχέσεις εμπιστοσύνης και τις διασυνδέσεις για περαιτέρω διείσδυση.
Παράλληλα, η ομάδα έχει θέσει στο στόχαστρο και υποδομές παρακολούθησης στα σύνορα της Ουκρανίας, αποκτώντας πρόσβαση σε κάμερες συνδεδεμένες στο διαδίκτυο, με σκοπό την παρακολούθηση ροών ανθρωπιστικής και στρατιωτικής βοήθειας.
Οι επιχειρήσεις της APT28 έχουν εντοπιστεί σε πλήθος χωρών: ΗΠΑ, Γερμανία, Γαλλία, Ιταλία, Ολλανδία, Πολωνία, Τσεχία, Σλοβακία, Ρουμανία, Βουλγαρία, Ελλάδα, Μολδαβία και φυσικά Ουκρανία.
Σύμφωνα με τα ευρήματα, οι τεχνικές που χρησιμοποιήθηκαν για αρχική παραβίαση περιλαμβάνουν:
- Credential guessing ή brute force
- Στοχευμένο spear-phishing είτε για κλοπή credentials είτε για εγκατάσταση malware
- Εκμετάλλευση της ευπάθειας του Microsoft Outlook (CVE-2023-23397)
- Χρήση γνωστών zero-day ευπαθειών στο Roundcube Webmail (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- SQL injection και exploits σε εταιρικά VPN
- Εκμετάλλευση της ευπάθειας WinRAR (CVE-2023-38831)
Για την απόκρυψη της δραστηριότητάς τους, οι κυβερνοεγκληματίες δρομολόγησαν την κακόβουλη δραστηριότητά τους μέσω παραβιασμένων συσκευών τύπου SOHO (Small Office/Home Office) που βρίσκονταν γεωγραφικά κοντά στους στόχους.
Δείτε επίσης: Οι Ρώσοι hackers Gamaredon στοχεύουν την Ουκρανία με το Remcos RAT
Μόλις εδραιώσουν παρουσία στο δίκτυο, οι χάκερ πραγματοποιούν reconnaissance , εστιάζοντας σε επαφές που σχετίζονται με την κυβερνοασφάλεια, τη διαχείριση μεταφορών και τρίτες συνεργαζόμενες εταιρείες, με στόχο την περαιτέρω εξάπλωση της επίθεσης.
Σύμφωνα με την έκθεση, η ρωσική ομάδα APT αξιοποίησε προηγμένες τεχνικές lateral movement και εξαγωγής δεδομένων, αξιοποιώντας εγγενή εργαλεία και λογισμικό ανοιχτού κώδικα για να διατηρήσει τη δράση της κάτω από τα ραντάρ των συστημάτων ανίχνευσης. Μεταξύ των εργαλείων που χρησιμοποιήθηκαν περιλαμβάνονται τα PsExec, Impacket, Remote Desktop Protocol (RDP), Certipy και ADExplorer, τα οποία επέτρεψαν την πρόσβαση σε κρίσιμες πληροφορίες Active Directory.
Οι επιτιθέμενοι εντόπισαν επίσης λίστες χρηστών του Office 365, ενώ στη συνέχεια στόχευσαν email accounts. Σε επόμενο στάδιο, οι χάκερ APT28 εστίασαν σε λογαριασμούς που σχετίζονται με αποστολές βοήθειας στην Ουκρανία, αποκτώντας πρόσβαση σε πληροφορίες όπως παραλήπτες και αποστολείς φορτίων, περιεχόμενο αποστολής, δρομολόγια, αριθμούς κοντέινερ και τελικούς προορισμούς.
Οι ερευνητές κατέγραψαν τη χρήση κακόβουλου λογισμικού όπως τα Headlace και Masepie, τα οποία χρησιμοποιήθηκαν για την παραμονή των επιτιθέμενων στα δίκτυα και τη σταδιακή εξαγωγή δεδομένων.
Η μέθοδος εξαγωγής ποικίλλει ανάλογα με το περιβάλλον κάθε στόχου: living-off-the-land (LOtL) binaries και malware. Σε αρκετές περιπτώσεις, οι επιθέσεις παρέμειναν αφανείς χάρη στη χρήση τοπικών, αξιόπιστων υποδομών, τη χρήση νόμιμων πρωτοκόλλων κλπ.
Παραβίαση συνδεδεμένων καμερών για παρακολούθηση μεταφορών
Ένα από τα πιο σημαντικά σημεία της εκστρατείας κυβερνοκατασκοπείας, όπως προείπαμε, είναι η στοχευμένη παρακολούθηση μέσω παραβιασμένων καμερών — είτε πρόκειται για ιδιωτικά δίκτυα, κυκλοφοριακές κάμερες, στρατιωτικές εγκαταστάσεις είτε για σημεία-κλειδιά όπως σιδηροδρομικοί σταθμοί και συνοριακά περάσματα. Στόχος αυτών των κινήσεων ήταν η επιτήρηση της κυκλοφορίας στρατιωτικών και ανθρωπιστικών υλικών προς την Ουκρανία.
Πάνω από 10.000 κάμερες στο στόχαστρο της APT28
Περισσότερες από 10.000 κάμερες παρακολούθησης στοχοποιήθηκαν από τη ρωσική ομάδα κυβερνοκατασκοπείας APT28, σύμφωνα με κοινή έκθεση κυβερνητικών υπηρεσιών κυβερνοασφάλειας. Το 80% των συσκευών αυτών βρίσκονται εντός της Ουκρανίας, ενώ σημαντικός αριθμός – σχεδόν 1.000 κάμερες – έχει εντοπιστεί στη Ρουμανία.
Η στρατηγική αυτή φέρεται να αποσκοπεί στην παρακολούθηση της μετακίνησης ανθρωπιστικής και στρατιωτικής βοήθειας προς την Ουκρανία, ενισχύοντας τις υποψίες ότι η εκστρατεία της APT28 λειτουργεί συμπληρωματικά στις φυσικές επιχειρήσεις πολέμου.
Δείτε επίσης: Ποιες νέες τεχνικές χρησιμοποιούν οι Ρώσοι hackers APT29;
Ο John Hultquist, επικεφαλής αναλυτής στο Google Threat Intelligence Group, δήλωσε στο BleepingComputer ότι οι παραβιάσεις δεν περιορίζονται μόνο στη συλλογή πληροφοριών, αλλά υποδηλώνουν πιθανές μελλοντικές επιθετικές ενέργειες. «Αυτές οι ενέργειες θα μπορούσαν να αποτελούν προοίμιο για σοβαρότερες επιθέσεις», υπογράμμισε ο Hultquist, προσθέτοντας ότι οποιοσδήποτε εμπλέκεται στη διαχείριση ή μεταφορά βοήθειας προς την Ουκρανία θα πρέπει να θεωρεί τον εαυτό του δυνητικό στόχο.
Η κοινή συμβουλευτική έκθεση κυβερνοασφάλειας, που δημοσιεύτηκε από υπηρεσίες σχεδόν δώδεκα χωρών, περιλαμβάνει τόσο γενικά μέτρα μετριασμού και ανίχνευσης, όσο και τεχνικούς δείκτες παραβίασης (IoCs). Σε αυτούς περιλαμβάνονται διευθύνσεις IP, ονόματα κακόβουλων αρχείων, γνωστά εργαλεία εκμετάλλευσης όπως η ευπάθεια του Outlook CVE-2023-23397, καθώς και πληροφορίες για λογισμικά και παρόχους email που χρησιμοποιεί ο παράγοντας απειλής.
Οι επιθέσεις που αποδίδονται στη ρωσική ομάδα APT28 (γνωστή και ως Fancy Bear ή Forest Blizzard) αποκαλύπτουν έναν συνδυασμό υψηλής τεχνικής ικανότητας και στρατηγικού σχεδιασμού, που ξεπερνά τα όρια της παραδοσιακής κυβερνοκατασκοπείας.
Οι επιθέσεις αυτές δεν είναι απλές παραβιάσεις ασφάλειας. Είναι ενδείξεις μιας νέας μορφής πολέμου, όπου η τεχνολογία γίνεται άμεσα εργαλείο επιρροής, καθυστέρησης ή ακόμη και καταστροφής κρίσιμων μηχανισμών υποστήριξης. Πρόκειται για κρατικά υποκινούμενες επιχειρήσεις με γεωπολιτική σημασία, οι οποίες δείχνουν ότι οι κυβερνοπόλεμοι έχουν ήδη ξεκινήσει και επηρεάζουν τη φυσική πραγματικότητα.
Πηγή: www.bleepingcomputer.com
