Οι Ρώσοι hackers APT28 (γνωστοί και ως “Strontium” ή “Fancy Bear“) στοχεύουν κυβερνητικές οντότητες, επιχειρήσεις, πανεπιστήμια, ερευνητικά ιδρύματα και think tanks στη Γαλλία. Αυτό φαίνεται να συμβαίνει τουλάχιστον από το δεύτερο εξάμηνο του 2021.

Οι συγκεκριμένοι hackers θεωρούνται μέρος της ρωσικής στρατιωτικής υπηρεσίας πληροφοριών GRU και έχουν συνδεθεί με την εκμετάλλευση γνωστών ευπαθειών για την πραγματοποίηση επιθέσεων σε μεγάλες εταιρείες.

Οι Ρώσοι hackers έχουν θέσει σε κίνδυνο συσκευές σε κρίσιμα δίκτυα οργανισμών στη Γαλλία και απομακρύνονται από τη χρήση backdoors για να αποφύγουν τον εντοπισμό. Αυτά τα στοιχεία προκύπτουν από την έρευνα της ANSSI (Agence Nationale de la sécurité des systèmes d’information), της γαλλικής Εθνικής Υπηρεσίας για την Ασφάλεια των Πληροφοριακών Συστημάτων, σχετικά με τις δραστηριότητες της ομάδας κυβερνοκατασκοπείας.

APT28: Network reconnaissance και αρχική πρόσβαση

Η ANSSI έχει παρατηρήσει τις τεχνικές της APT28 και έχει δει ότι χρησιμοποιεί brute-forcing και βάσεις δεδομένων που έχουν διαρρεύσει. Έτσι, αποκτούν credentials για την παραβίαση λογαριασμών και Ubiquiti routers σε στοχευμένα δίκτυα.

Δείτε επίσης: Οι Ρώσοι hackers APT28 παραβίασαν email servers ουκρανικών οργανισμών

Τον Απρίλιο του 2023, οι Ρώσοι hackers έπεισαν τα θύματα (μέσω phishing) να τρέξουν PowerShell που αποκάλυψε τη διαμόρφωση του συστήματός τους, τις διεργασίες που εκτελούσαν και άλλες λεπτομέρειες του λειτουργικού συστήματος.

Μεταξύ Μαρτίου 2022 και Ιουνίου 2023, οι hackers APT28 έστειλαν emails σε χρήστες του Outlook που εκμεταλλεύονταν την ευπάθεια CVE-2023-23397.

Κατά τη διάρκεια αυτής της περιόδου, οι εισβολείς εκμεταλλεύτηκαν επίσης το CVE-2022-30190 (γνωστό και ως “Follina”) στο Microsoft Windows Support Diagnostic Tool και τα CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 στην εφαρμογή Roundcube.

Τα εργαλεία που χρησιμοποιούν οι hackers στα πρώτα στάδια των επιθέσεων περιλαμβάνουν το malware κλοπής κωδικού πρόσβασης, Mimikatz, και το reGeorg traffic relaying tool. Επίσης, χρησιμοποιούνται οι υπηρεσίες ανοιχτού κώδικα Mockbin και Mocky.

Η ANSSI αναφέρει επίσης ότι οι Ρώσοι hackers APT28 χρησιμοποιούν γνωστά VPN clients, συμπεριλαμβανομένων των SurfShark, ExpressVPN, ProtonVPN, PureVPN, NordVPN, CactusVPN, WorldVPN και VPNSecure.

Κλοπή δεδομένων

Ως ομάδα κυβερνοκατασκοπείας, η πρόσβαση σε δεδομένα και η κλοπή τους αποτελεί βασική δραστηριότητα των hackers APT28.

Η ANSSI παρατήρησε τους hackers να ανακτούν πληροφορίες ελέγχου ταυτότητας χρησιμοποιώντας βοηθητικά προγράμματα και κλέβοντας emails που περιέχουν ευαίσθητες πληροφορίες.

Δείτε επίσης: Κυβερνοκατασκοπεία: Οι YoroTrooper hackers μπορεί να σχετίζονται με το Καζακστάν

Συγκεκριμένα, οι εισβολείς εκμεταλλεύονται το CVE-2023-23397

για να ενεργοποιήσουν μια σύνδεση SMB από τους στοχευμένους λογαριασμούς σε μια υπηρεσία υπό τον έλεγχό τους. Έτσι, μπορούν να αποκτήσουν το NetNTLMv2 authentication hash, το οποίο μπορεί να χρησιμοποιηθεί και σε άλλες υπηρεσίες.

Η υποδομή command and control server (C2) της APT28 βασίζεται σε νόμιμες υπηρεσίες cloud, όπως το Microsoft OneDrive και το Google Drive.

Τέλος, η ANSSI έχει δει στοιχεία ότι οι εισβολείς συλλέγουν δεδομένα χρησιμοποιώντας το CredoMap implant, το οποίο στοχεύει πληροφορίες που είναι αποθηκευμένες στο πρόγραμμα περιήγησης του θύματος, όπως cookies ελέγχου ταυτότητας.

Το Mockbin και η υπηρεσία Pipedream εμπλέκονται επίσης στη διαδικασία εξαγωγής δεδομένων.

Προστασία

Η ANSSI δίνει έμφαση σε μια ολοκληρωμένη προσέγγιση για την ασφάλεια. Στην περίπτωση της απειλής APT28, η εστίαση στην ασφάλεια του email είναι ζωτικής σημασίας:

  • Φροντίστε για την ασφάλεια και το απόρρητο των email.
  • Χρησιμοποιήστε ασφαλείς πλατφόρμες.
  • Ελαχιστοποιήστε την επιφάνεια επίθεσης των διεπαφών webmail και μειώστε τους κινδύνους από διακομιστές όπως το Microsoft Exchange.
  • Χρησιμοποιήστε εργαλεία εντοπισμού κακόβουλων email.

APT28 hackers

Οι APT28 hackers έχουν εκτελέσει πολλές επιθέσεις που έχουν αποκαλύψει τις ικανότητές τους. Ένα από τα πιο γνωστά περιστατικά είναι η επίθεση κατά του Democratic National Committee των Ηνωμένων Πολιτειών το 2015. Οι APT28 κατάφεραν να διεισδύσουν στο δίκτυο και να κλέψουν ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των προσωπικών email των αξιωματούχων.

Δείτε επίσης: Οι hackers Winter Vivern χρησιμοποιούν Roundcube zero-day για να κλέψουν κυβερνητικά emails

Ένα ακόμη περιστατικό που πρέπει να αναφερθεί είναι η επίθεση κατά του International Olympic Committee το 2018.

Αυτές οι επιθέσεις αποκαλύπτουν την επιδεξιότητα των APT28 hackers στον τομέα της κυβερνοασφάλειας και την προσαρμοστικότητά τους σε διάφορους τομείς.

Πηγή: www.bleepingcomputer.com