Haker povezan s Rusijom poznat kao Seashell Blizzard zadužio je jednu od svojih podgrupa da dobije početni pristup infrastrukturi koja je okrenuta internetu i uspostavi dugoročnu stabilnost u ciljanim organizacijama, izvještava Microsoft.
Takođe se naziva APT44, BlackEnergy Lite, Sandworm, Telebots i Voodoo Bear, Seashell Blizzard i aktivan je najmanje od 2009. godine i vjeruje se da je povezan s vojnom jedinicom 74455 Glavnog obavještajnog direktorata Glavnog štaba Rusije (GRU).
Haker poznat po uključenju u špijunažu, informacione operacije i sajber poremećaje, kao što su destruktivni napadi KillDisk (2015), MeDoc (2017), NotPetya (2017), FoxBlade (2022) i Prestige (2022).
Seashell Blizzard ciljanje kritične infrastrukture – uključujući ICS i SCADA sisteme u sektoru energetike, vode, vlade, proizvodnje, vojske, telekomunikacija i transporta – koristi se u vojnim operacijama, posebno u Ukrajini.
„Od aprila 2023. godine, Seashell Blizzard je povećao ciljanje vojnih zajednica u regionu, vjerovatno radi dobijanja taktičkih obavještajnih podataka. Njihovo uporno ciljanje na Ukrajinu sugeriše da je Seashell Blizzard dobio zadatak da dobije i zadrži pristup visokoprioritetnim ciljevima kako bi ruskoj vojsci i ruskoj vladi pružio niz opcija za buduće akcije”, navodi Microsoft u izvještaju od srijede.
U protekle četiri godine, podgrupa unutar Seashell Blizzarda bila je angažovana u širokoj operaciji početnog pristupa koja se naziva ‘BadPilot kampanja’, s ciljem uspostavljanja postojanosti unutar visokovrijednih ciljeva, kao podrška prilagođenim mrežnim operacijama.
„Aktivna od najranije 2021. godine, ova podgrupa unutar Seashell Blizzarda koristila je oportunističke tehnike pristupa i skrivene oblike upornosti za prikupljanje kredencijala, postizanje izvršenja komandi i podršku bočnom kretanju što je ponekad dovelo do značajnih kompromisa regionalne mreže“, objašnjava Microsoft.
Aktivnosti podgrupe, kaže tehnološki gigant, omogućile su Seashell Blizzardu da horizontalno proširuje operacije tako što je dobio pristup globalnim ciljevima u više sektora, uključujući međunarodne vlade.
Prošle godine, podgrupa je proširila svoju ciljnu listu kako bi uključila organizacije u SAD-u i Velikoj Britaniji, uglavnom kroz iskorištavanje ranjivosti u ConnectWise ScreenConnect ( CVE-2024-1709 ) i Fortinet FortiClient EMS ( CVE-2023-48788 ).
“U skoro svim slučajevima uspješne eksploatacije, Seashell Blizzard je preduzeo mjere za uspostavljanje dugoročne postojanosti na pogođenim sistemima. Zapaženo je da je ovaj uporan pristup u najmanje tri slučaja prethodio odabranim destruktivnim napadima koji se pripisuju Seashell Blizzardu, naglašavajući da podgrupa može povremeno omogućiti destruktivne ili ometajuće napade,” kaže Microsoft.
Microsoft je takođe primijetio da podgrupa pravi maliciozne modifikacije mrežnih resursa kao što su OWA stranice za prijavu i DNS konfiguracije, da pasivno prikuplja mrežne verifikacije i ubacuje maliciozni JavaScript kod u legitimne portale za prijavu radi prikupljanja korisničkih imena i lozinki.
„S obzirom na to da je Seashell Blizzard ruski sajber vrh koplja u Ukrajini, Microsoft Threat Intelligence procjenjuje da će ova pristupna podgrupa nastaviti sa uvodjenjem inovacija novih horizontalno skalabilnih tehnika kako bi kompromitovala mreže kako u Ukrajini tako i na globalnom nivou u podršci ratnim ciljevima Rusije i evoluirajućim nacionalnim prioritetima“, ne navodi tehnološki gigant.
Izvor: SecurityWeek
