RSS CISA Советы по кибербезопасности
Подписаться
Российские военные кибер-акторы нацеливаются на критическую инфраструктуру США и глобальную
ФБР, CISA и NSA определили, что российская ГРУ-29155 несет ответственность за кибероперации против глобальных сущностей с 2020 года, преследуя цели шпионажа, саботажа и репутационного вреда. Эта группа, отличная от других кибергрупп ГРУ, развернула разрушительную вредоносную программу WhisperGate против украинских организаций в январе 2022 года. Чтобы противодействовать этой угрозе, организации должны приоритизировать обновление систем, сегментацию сети и многофакторную аутентификацию. В этом совете изложены тактики, техники и процедуры, используемые ГРУ-29155, включая использование общедоступных инструментов и уязвимостей.ФБР считает, что киберактеры ГРУ-29155 являются младшими офицерами ГРУ, набирающимися опыта через кибероперации и полагающимися на не-ГРУ-лиц для поддержки. Кибербезопасная отрасль отслеживает эту группу под разными именами, включая Cadet Blizzard, Ember Bear и Frozenvista.Помимо Украины, ГРУ-29155 атаковала страны-члены НАТО и другие страны в Европе, Латинской Америке и Центральной Азии. Их деятельность включает в себя дефейсы веб-сайтов, сканирование инфраструктуры, эксфильтрацию данных и публичные утечки данных. С начала 2022 года их внимание сместилось на нарушение помощи Украине.ФБР зафиксировало более 14 000 случаев сканирования доменов в 26 странах-членах НАТО и нескольких странах ЕС. ГРУ-29155 нацеливается на критически важные секторы инфраструктуры, включая государственные услуги, финансы, транспорт, энергию и здравоохранение.Они используют разведывательные техники, включая использование таких инструментов, как Acunetix, Amass, MASSCAN и Shodan, для сканирования на уязвимости и сбора информации. Они наблюдались при получении эксплоит-скриптов для различных CVE и использовании их для начального доступа.Группа часто использует общепринятые техники red teaming и общедоступные инструменты, полагаясь на темные веб-форумы для получения вредоносного ПО и загрузчиков. Они эксплуатировали уязвимости в IP-камерах Dahua, чтобы обойти аутентификацию и эксфильтровать данные.ГРУ-29155 использовала разные методы для бокового движения, включая использование Shodan для идентификации устройств IoT и эксплуатацию уязвимостей в IP-камерах, чтобы получить доступ и выкачать настройки конфигурации. В совете предоставлен список признаков компрометации (IOCs), чтобы помочь в выявлении и противодействии потенциальным угрозам, связанным с этой группой.