Bugün yayınlanan ortak bir siber güvenlik danışmanlığında, ABD ve müttefik istihbarat teşkilatları birçok tehdit analistinin uzun süredir şüphelendiğini doğruladı: Rus Gru Askeri İstihbarat Ajansı, Avrupa ve Kuzey Amerika’daki lojistik ve ulaşım sağlayıcılarının dijital omurgasını sistematik olarak hedefliyor.
İngiltere, Avustralya ve Almanya da dahil olmak üzere 10 ülkeden NSA, FBI, CISA ve ortaklardan gelen 25 sayfalık bir raporda ayrıntılı olarak açıklanan kampanya, GRU’nun 26165 birimi tarafından koordineli bir siber casusluk çabasını vurguluyor-Tehdit Intel dünyasında Apt28, Fantezi Ayı veya Orman Blizzard olarak daha yaygın olarak tanınıyor.
Kampanyanın merkezindeki hedefler yük operatörleri, demiryolu ağları, hava trafik sistemleri ve bulut teknoloji satıcılarıydı – Ukrayna’ya askeri ve insani yardım almada rol oynadı. Hedefler, Macaristan’daki IP kameraları da dahil olmak üzere 14 ülkedeki kuruluşları Rus müttefiki içeriyordu.
Rus Gru kampanyası sadece kötü amaçlı yazılım değil, gözetim de
Raporda öne çıkan şey, GRU’nun taktiklerinin ölçeği ve yaratıcılığıdır. Bilgisayar korsanları sadece e -posta sunucularını kaçırmak veya Truva atlarını itmekle kalmaz. IP kameralarına da hackliyorlar – bunların 10.000’i kesin olarak – çoğunlukla Ukrayna sınırlarının etrafında, zayıf kimlik bilgileri ve maruz kalan RTSP hizmetlerini, fiziksel gözetimi yerdeki dijital gözlere dönüştürmek için.


Paralel olarak, GRU operatörleri nakliye ve lojistik şirketleri üzerinde hedeflenen müdahaleler başlattı, eşleştirilmemiş değişim sunucuları, Winrar Bugs (CVE-2023-38831) ve Outlook NTLM sızıntıları (CVE-2023-23397) gibi tanıdık zayıflıklardan yararlandı. Amaç, sevkiyat tezahürlerini, yönlendirme bilgilerini ve birlik veya ekipman hareketini devirebilecek hassas iş verilerini çalmaktı.
Nakliye veri hırsızlığı ve tehlikeye atılan video yayınlarının kombinasyonu muhtemelen saldırganlara hareket eden, nerede ve ne zaman hareket ettiğine gerçek zamanlı görünürlük sağlar. Enterprise Scale’de taktik zeka koleksiyonu.
Gru kötü amaçlı yazılım yığını
İlk olarak İsrail-Hamas çatışması sırasında IBM X-Force tarafından bildirilen başlık arka kapı, kötü niyetli kısayol dosyalarına gömülü bulundu. Etkinleştirildikten sonra, çalınan verileri dışarı atmak, günlükleri temizlemek ve erişimi korumak için başsız tarayıcı oturumlarını başlattı.
Ayrıca okuyun: Rus Hacker Group APT28, Hedef Diplomatları hedeflemek için sahte otomobil reklamları aracılığıyla Headlace kötü amaçlı yazılımları başlattı
Python tabanlı bir arka kapı olan Masepie, genellikle rutin arka plan işlemleri olarak gizlenmiş olan uzaktan kabuk erişimi, dosya transferleri ve komut yürütme özellikleri sundu. Başka bir araç olan SteelHook, PowerShell tabanlı teknikleri kullanarak depolanmış şifreleri şifreleyerek Chrome ve Edge gibi tarayıcılardan kimlik bilgisi hasatını etkinleştirdi.
Aktörler ayrıca lolbins kullandılar – ntdsutil
– wevtutil
Ve ADExplorer
– Tespitten kaçınmak ve topraktan yaşamak.
Bir durumda, Gru Hacker’lar bir ICS satıcısının e -posta platformunu kontrol etti, daha sonra demiryolu sektöründeki müşterileri tehlikeye atmak için döndü. Bir diğerinde, bir nakliye şirketinde VPN altyapısına erişmek için çalıntı kimlik bilgileri ve MFA yorgunluk tekniklerini kullandılar.
Rus Gru ne istiyor
Bu bir Smash and-grab fidye yazılımı işlemi değildir. Uzun vadeli gözetim. Serbest bırakmak, sessizce zeka toplamak ve sadece gerektiğinde müdahale etmek için tasarlanmış türden bir kampanya.
Rapor, şirketin herhangi bir hedefini açıkça adlandırmasa da, endüstriler en zor vurdu-logistic, ulaşım ve savunma-yatışlı satıcılar-askeri donanım, insani yardım malzemeleri ve kritik altyapı parçalarını çatışma bölgelerine taşıyanlarla aynı.
Büyük endişe? Bu tehlikeye atılan ağlar, Rusya’ya bir savaş alanı sağlayabilir – yardımı merak ederek, tedarik hatlarını sabote etmek veya sadece Batı’nın nasıl hareket ettiğini görmek için izlemek.
Şirketler Nasıl Yanıt Vermeli
Danışmanlık, aşağıdakiler dahil olmak üzere teknik hafifletmelerden oluşan bir çamaşır listesi içerir:
Bilinen C2 altyapısını engelleme
VPN ve E -posta Erişimini Sertleştirme
Açıkta kalan IP kameralarının yeniden yapılandırılması
Bilinen sömürülen güvenlik açıklarının yamalanması (özellikle Outlook, Exchange ve Winrar’da)
PowerShell Kullanımı ve Sistem Aracı İstismarını İzleme
Ancak daha geniş bir mesaj var: Lojistik veya savunma tedarik zincirindeyseniz ve özellikle Ukrayna’yı – dolaylı olarak bile – destekliyorsanız, zaten bir hedefsiniz.
Danışmanlık, bu sektörlerdeki kuruluşların uzlaşmayı üstlenmesi ve buna göre hareket etmelidir.
Büyük resim
Rusya’nın Ukrayna’daki dijital oyun kitabı gelişiyor. İlk kampanyalar başlık yakalama sileceklerine ve güç şebekesi saldırılarına güvenirken, yeni sınır çok daha stratejik ve çok daha ince.
Şu anda gördüğümüz şey gözetim olarak siber savaş: daha az havai fişek, daha fazla kamera. Gru sadece bir şeyler kırmıyor, izliyor, öğreniyor ve bekliyor.
Ve kargo veya üretim ekipmanlarını çatışma bölgeleriyle bağları olan şirketler için, siber güvenlik artık sadece bir uyum sorunu olmadığı anlamına geliyor. Operasyonel güvenlik. Ulusal güvenlik.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.