Η κυβέρνηση των ΗΠΑ, με διεθνείς εταίρους, απέδωσε τις ευθύνες για επιθέσεις που σχετίζονται με το 161ο Κέντρο Εκπαίδευσης Ειδικών σε μια ρωσική ομάδα hacking, την “Cadet Blizzard”.
«Τέτοιου είδους hacking συμμορίες είναι υπεύθυνες για επιθέσεις σε παγκόσμιους οργανισμούς με σκοπούς κατασκοπείας, δολιοφθοράς και υπονόμευσης της φήμης από το 2020», δήλωσαν οι αρμόδιες αρχές. «Από την αρχή του 2022, ο στόχος της συμμορίας “Cadet Blizzard” είναι η παρεμπόδιση των ανθρωπιστικών προσπαθειών για βοήθεια στην Ουκρανία».
Οι επιθέσεις εστιάζουν σε κρίσιμες υποδομές και βασικούς πόρους, συπεριλαμβάνοντας κυβερνητικές υπηρεσίες, χρηματοπιστωτικά ιδρύματα, συστήματα μεταφορών, ενεργειακούς τομείς και υπηρεσίες υγειονομικής περίθαλψης. Οι στόχοι αυτών των επιθέσεων περιλαμβάνουν χώρες μέλη του ΝΑΤΟ, της Ευρωπαϊκής Ένωσης, καθώς και κράτη της Κεντρικής Αμερικής και της Ασίας.
Η ενημέρωση, που δημοσιεύθηκε την περασμένη εβδομάδα στο πλαίσιο μιας συντονισμένης άσκησης με την επωνυμία Operation Toy Soldier, προέρχεται από αρχές κυβερνοασφάλειας και πληροφοριών από τις ΗΠΑ, την Ολλανδία, την Τσεχική Δημοκρατία, τη Γερμανία, την Εσθονία, τη Λετονία, την Ουκρανία, τον Καναδά, την Αυστραλία και το Ηνωμένο Βασίλειο.
Η ομάδα Cadet Blizzard, επίσης γνωστή ως Ember Bear, FROZENVISTA, Nodaria, Ruinous Ursa, UAC-0056 και UNC2589, κέρδισε προσοχή τον Ιανουάριο του 2022 λόγω της ανάπτυξης του καταστροφικού κακόβουλου λογισμικού WhisperGate (γνωστό και ως PAYWIPE) κατά διαφόρων οργανώσεων που επλήγησαν από τη ρωσική στρατιωτική εισβολή στην Ουκρανία.
Τον Ιούνιο του 2024, ένας 22χρονος Ρώσος πολίτης, ο Amin Timovich Stigal, κατηγορήθηκε στις ΗΠΑ για τον φερόμενο ρόλο του στην οργάνωση καταστροφικών κυβερνοεπιθέσεων κατά της Ουκρανίας μέσω wiper κακόβουλου λογισμικού. Ωστόσο, η χρήση του WhisperGate δεν περιορίζεται μόνο στην ομάδα αυτή.
Το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) έχει απαγγείλει κατηγορίες σε πέντε αξιωματικούς της Μονάδας 29155 για συνωμοσία προκειμένου να διαπράξουν εισβολές σε υπολογιστές και απάτες μέσω ηλεκτρονικών υπολογιστών εναντίον στόχων στην Ουκρανία, τις ΗΠΑ και 25 άλλες χώρες του ΝΑΤΟ.
Τα ονόματα των πέντε αξιωματικών αναφέρονται παρακάτω –
- Yuriy Denisov (Юрий Денисов), συνταγματάρχης του ρωσικού στρατού και διοικητής των Επιχειρήσεων στον Κυβερνοχώρο για τη Μονάδα 29155
- Vladislav Borovkov (Владислав Боровков), Denis Denisenko (Денис Денисенко), Dmitriy Goloshubov (Дима Голошубов) και Nikolay Korchagin (Николай Корчагин), υπολοχαγοί του ρωσικού στρατού που τοποθετήθηκαν στη Μονάδα 29155 που εργάζονταν σε επιχειρήσεις στον κυβερνοχώρο.
«Οι κατηγορούμενοι επιδίωξαν να προκαλέσουν ανησυχία στους Ουκρανούς πολίτες σχετικά με την ασφάλεια των κυβερνητικών συστημάτων και των προσωπικών τους δεδομένων», ανέφερε το Υπουργείο Δικαιοσύνης. “Οι στόχοι τους περιλάμβαναν συστήματα και δεδομένα της ουκρανικής κυβέρνησης που δεν σχετίζονται με στρατιωτικές ή αμυντικές δραστηριότητες. Επίσης, οι επόμενοι στόχοι περιλάμβαναν υπολογιστικά συστήματα σε διάφορες χώρες που παρείχαν υποστήριξη στην Ουκρανία.”
Ταυτόχρονα με την ανακοίνωση των κατηγοριών, το πρόγραμμα Rewards for Justice του Υπουργείου Εξωτερικών των ΗΠΑ έχει προσφέρει ανταμοιβή έως και 10 εκατομμυρίων δολαρίων για πληροφορίες σχετικά με τις τοποθεσίες των κατηγορουμένων ή την κακόβουλη δραστηριότητά τους στον κυβερνοχώρο.
Διαβάστε ακόμη: Toyota – Παραβίαση δεδομένων: Διαρροή στοιχείων σε hacking forum
Οι ενδείξεις υποδεικνύουν ότι η Μονάδα 29155 είναι υπεύθυνη για απόπειρες πραξικοπημάτων, δολιοφθορές, επιχειρήσεις επιρροής και απόπειρες δολοφονίας σε όλη την Ευρώπη, με τον αντίπαλο να διευρύνει τις δραστηριότητές του για να περιλάβει επιθετικές ενέργειες στον κυβερνοχώρο τουλάχιστον από το 2020.
Ο τελικός στόχος αυτών των κυβερνοεπιθέσεων είναι η συλλογή ευαίσθητων πληροφοριών για σκοπούς κατασκοπείας, η πρόκληση βλάβης στη φήμη μέσω διαρροής των δεδομένων και η υλοποίηση καταστροφικών επιχειρήσεων που στοχεύουν στη δολιοφθορά συστημάτων που περιέχουν πολύτιμες πληροφορίες.
Η Μονάδα 29155, σύμφωνα με τις πληροφορίες, περιλαμβάνει κατώτερους, ενεργούς αξιωματικούς της GRU, οι οποίοι συνεργάζονται με γνωστούς εγκληματίες του κυβερνοχώρου και άλλους πολιτικούς παράγοντες, όπως ο Stigal, για να διευκολύνουν τις αποστολές τους.
Αυτές οι δραστηριότητες περιλαμβάνουν παραμόρφωση ιστοσελίδων, σάρωση υποδομών, φιλτράρισμα δεδομένων και διαρροές πληροφοριών που μπορεί να περιλαμβάνουν την απόδοση των δεδομένων σε δημόσιες πλατφόρμες ή την πώλησή τους σε τρίτους.
Οι αλυσίδες επιθέσεων ξεκινούν με δραστηριότητες σάρωσης που εκμεταλλεύονται γνωστά ελαττώματα ασφαλείας σε πλατφόρμες όπως ο Atlassian Confluence Server και Data Center, η Dahua Security, καθώς και στο τείχος προστασίας του Sophos, με σκοπό την παραβίαση των περιβαλλόντων των θυμάτων. Αυτή η διαδικασία ακολουθείται από τη χρήση του Impacket για μετα-εκμετάλλευση και πλευρική κίνηση, καταλήγοντας τελικά στην εξαγωγή δεδομένων σε αποκλειστική υποδομή.
Δείτε περισσότερα: Ευπάθειες εκθέτουν ηλιακά συστήματα σε hacking
«Οι hackers μπορεί να χρησιμοποίησαν το κακόβουλο λογισμικό Raspberry Robin ως μεσίτη πρόσβασης», ανέφεραν οι αρμόδιες αρχές. Στόχευσαν την υποδομή του Microsoft Outlook Web Access (OWA) των θυμάτων, χρησιμοποιώντας password spraying για να αποκτήσουν έγκυρα ονόματα χρήστη και κωδικούς πρόσβασης.
Συνιστάται στους οργανισμούς να δίνουν προτεραιότητα σε τακτικές ενημερώσεις συστήματος και να διορθώνουν γνωστές εκμεταλλεύσιμες ευπάθειες. Επιπλέον, θα πρέπει να τμηματοποιούν τα δίκτυά τους για την αποτροπή της εξάπλωσης κακόβουλης δραστηριότητας και να επιβάλλουν έλεγχο ταυτότητας πολλαπλών παραγόντων ανθεκτικούς σε ηλεκτρονικό ψάρεμα (MFA) για όλες τις εξωτερικές υπηρεσίες λογαριασμού.
Πηγή: thehackernews
 (Μονάδα 29155) σε μια ρωσική ομάδα hacking γνωστή ως Cadet Blizzard.){kind=link}