Wzmożone cyberataki BlueDelta
Rosyjska grupa cyberprzestępcza APT28, znana również jako BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy oraz TA422, wykorzystując techniki geofencingu do atakowania sieci w całej Europie, ze szczególnym naciskiem na Ukrainę, wdrażała złośliwe oprogramowanie Headlace, kradnące informacje i zbierające dane uwierzytelniające. Została wdrożona infrastruktura w trzech odrębnych fazach, głównie za pomocą wiadomości phishingowych, często naśladujących oficjalną i legalną komunikację, w celu zwiększenia skuteczności ataku. BlueDelta wykorzystuje legalne usługi internetowe (LIS) i pliki binarne typu Living-of-the-Land Binaries (LOLBIN – używają plików binarnych macierzystego systemu, w celu ominięcia wykrycia, dostarczenia złośliwego oprogramowania i pozostanie niewykrytym), dodatkowo maskując swoje działania w ruchu sieciowym, wykorzystano zaawansowane funkcje umożliwiające przekazywanie uwierzytelniania dwuskładnikowego i CAPTCHA. To wyrafinowane działanie utrudnia wykrycie, zwiększając skuteczność ataku BlueDelta w przypadku naruszenia sieci. APT28 regularnie używa darmowych usług hostingu: *.rf.gd, *infinityfreeapp.com, *.000.pe, *.lovestoblog.com, *.kesug.com, *.wuaze.com, *.great-site.net, *.42web.io, *.free.nf. Pozyskiwano dane uwierzytelniające z Ministerstw Obrony, europejskiej infrastruktury transportowej, systemów kolejowych w celu gromadzenia danych wywiadowczych.
Mail phishing’owy podszywający się pod Kancelarię Prezesa Rady Ministrów – źródło Recorded Future, link powoduje pobranie złośliwego pliku zip, z legalną wersją, publicznie dostępnego raportu: „Report of the Special Committee to Investigate Israeli Practices Affecting the Human Rights of the Palestinian People and Other Arabs of the Occupied Territories”
oraz ukryte pliki ze złośliwym oprogramowaniem
Dla organizacji z sektora rządowego, wojskowego, obronnego wzrost aktywności ataków BlueDelta jest przede wszystkim wezwaniem do wzmocnienia środków cyberbezpieczeństwa: nadawania priorytetu wykrywaniu wyrafinowanych prób phishingu, ograniczaniu dostępów do usług internetowych, wzmocnieniu nadzoru nad infrastrukturą krytyczną. Ciągłe szkolenia zakresie rozpoznawania zaawansowanych zagrożeń i reagowania na nie stają się niestety niezbędne do skutecznej obrony przed takimi zaawansowanymi grupami cyberprzestępczymi.
