Σύμφωνα με τη γαλλική υπηρεσία κυβερνοασφάλειας ANSSI, οι Ρώσοι hackers Nobelium στοχεύουν συνεχώς γαλλικές διπλωματικές οντότητες και δημόσιους οργανισμούς από το 2021.
Η υπηρεσία ανέφερε ότι οι συγκεκριμένοι hackers συμμετείχαν σε τουλάχιστον πέντε συντονισμένες εκστρατείες μεταξύ 2021 και 2024. Στο στόχαστρο βρέθηκαν το γαλλικό Υπουργείο Πολιτισμού, το Γαλλικό Υπουργείο Εξωτερικών, η Εθνική Υπηρεσία για την Εδαφική Συνοχή (ANCT) και πολλές γαλλικές πρεσβείες σε όλο τον κόσμο.
Οι αυξημένες επιθέσεις των hackers Nobelium στην Ευρώπη φαίνεται να συνδέονται και με τον πόλεμο μεταξύ Ρωσίας και Ουκρανίας.
Δείτε επίσης: Ισπανία: Ρώσοι hackers στόχευσαν αμυντική εταιρεία λόγω βοήθειας στην Ουκρανία
Οι περισσότερες από αυτές τις επιθέσεις ακολούθησαν τις ίδιες τεχνικές, τακτικές και διαδικασίες (TTP). Οι Ρώσοι hackers χρησιμοποιούσαν παραβιασμένους νόμιμους λογαριασμούς email, που ανήκαν σε διπλωματικό προσωπικό, και πραγματοποιούσαν εκστρατείες phishing εναντίον ιδρυμάτων-στόχων.
Οι χειριστές προσπάθησαν να παραδώσουν τους δικούς τους loaders, προκειμένου να εκτελέσουν δημόσια red teaming tools όπως το Cobalt Strike ή το Brute Ratel C4. Στόχος ήταν η απόκτηση πρόσβασης στο δίκτυο του θύματος, η εξασφάλιση persistence και η εξαγωγή πολύτιμων πληροφοριών.
«Οι δραστηριότητες των hackers Nobelium εναντίον κυβερνητικών και διπλωματικών οντοτήτων περιγράφονται ως εκστρατεία «Diplomatic Orbiter», και αποτελούν ανησυχία για την εθνική ασφάλεια, ενώ θέτουν σε κίνδυνο τα γαλλικά και ευρωπαϊκά διπλωματικά συμφέροντα», πρόσθεσε η ANSSI.
Πρόσφατα, οι Ρώσοι hackers Nobelium στόχευσαν και μεγάλες εταιρείες IT, όπως η Microsoft, η Hewlett Packard Enterprise (HPE) και η TeamCity.
Nobelium hackers
Οι hackers Nobelium, γνωστοί και ως Midnight Blizzard, είναι μια ομάδα κυβερνοκατασκοπείας, που πιστεύεται ότι συνδέεται με τη ρωσική υπηρεσία πληροφοριών (SVR).
Δείτε επίσης: Οι Ρώσοι hackers APT28 στοχεύουν την Ευρώπη με το HeadLace malware
Αρκετοί πιστεύουν ότι οι hackers συνδέονται με την ομάδα APT29, στην οποία αποδόθηκε τόσο η επίθεση κατά της Αμερικανικής Εθνικής Δημοκρατικής Επιτροπής το 2015 όσο και η επίθεση Sunburst το 2020.
Ωστόσο, με βάση την παρατήρηση των κωδίκων, τακτικών, τεχνικών και διαδικασιών των επιτιθέμενων, η ANSSI προτιμά να διαφοροποιεί τις ομάδες που σχετίζονται με το SVR:
- Η APT29, γνωστή και ως The Dukes, φέρεται να δραστηριοποιείται τουλάχιστον από το 2008. Πραγματοποιούσε επιθέσεις μέχρι το 2019 εναντίον διαφόρων κυβερνήσεων, think tanks, διπλωματικών οντοτήτων και πολιτικών κομμάτων και σχετιζόταν κυρίως με την επίθεση του 2015 κατά της Αμερικανικής Δημοκρατικής Εθνικής Επιτροπής
- Η Dark Halo, η οποία έχει συνδεθεί με την επίθεση της SolarWinds
- Η Nobelium, η οποία είναι ενεργή τουλάχιστον από τον Οκτώβριο του 2020
Δείτε επίσης: Ρώσοι hackers στόχευσαν κυβερνητικά sites του Κοσόβου
Οι hackers Nobelium έχουν στοχεύσει δημόσιους και ιδιωτικούς οργανισμούς σε όλη την Ευρώπη, την Αφρική, τη Βόρεια Αμερική και την Ασία.
Η συνεχής στόχευση γαλλικών φορέων από τους Ρώσους hackers Nobelium είναι μια ανησυχητική εξέλιξη που υπογραμμίζει την ανάγκη για ισχυρότερα μέτρα κυβερνοασφάλειας και συνεργασία για την αντιμετώπιση κυβερνοαπειλών που χρηματοδοτούνται από το κράτος. Οι κυβερνήσεις και οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση για να προστατεύσουν τα περιουσιακά τους στοιχεία, την υποδομή και τις ευαίσθητες πληροφορίες τους από κακόβουλους παράγοντες. Επομένως, είναι ζωτικής σημασίας για όλα τα εμπλεκόμενα μέρη να ενημερώνονται για τις εξελισσόμενες τακτικές και τεχνικές που χρησιμοποιούνται από παράγοντες απειλών όπως οι Nobelium. Πρέπει να δίνεται προτεραιότητα στις τακτικές ενημερώσεις συστημάτων, την εφαρμογή αυστηρών πρωτοκόλλων ασφαλείας και τη διενέργεια συχνών ελέγχων ασφαλείας για τον εντοπισμό πιθανών τρωτών σημείων.
Πηγή: www.infosecurity-magazine.com
