Cyberbezpieczeństwo
Atak rosyjskiego GRU na korpus NATO
Hakerzy powiązani z rosyjskim wywiadem wojskowym GRU przeprowadzili atak na jeden z korpusów NATO. Celem padły też m.in. ministerstwa obrony i spraw zagranicznych wielu państw.
Polskie Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC) w ubiegłym tygodniu ujawniło wrogie działania wymierzone w podmioty publiczne i prywatne w naszym kraju. Polegały one na wykorzystaniu podatności CVE-2023-23397 (Microsoft Outlook) w celu uzyskania dostępu do skrzynki ofiar.
Jak informowaliśmy, analiza polskich cyberwojsk wykazała, że kampania pokrywa się z działaniami wiązanymi (przez amerykańskie i brytyjskie podmioty rządowe) z aktywnością grupy APT28 (znaną powszechnie jako Fancy Bear), która ma być kontrolowana przez rosyjskie GRU. Polska to tylko jeden z celów.
Czytaj też
Aktywność Fancy Bear
Eksperci Unit42 Palo Alto Networks zwracają uwagę, że wspomniana podatność w Microsoft Outlook jest „wyjątkowo niepokojąca”, ze względu na fakt, że można ją wykorzystać bez żadnej interakcji ze strony użytkownika (w nic nie musimy klikać, nic nie musimy pobierać czy instalować, aby sprawcy ją wykorzystali).
Analiza specjalistów wykazała, że w ciągu ostatnich 20 miesięcy grupa APT28 przeprowadziła minimum trzy kampanie z użyciem luki CVE-2023-23397 (celem co najmniej 30 podmiotów). Pierwsza miała miejsce w okresie marzec-grudzień 2022 r., podczas gdy druga w marcu br. a trzecia trwała od września do października.
Czytaj też
Atak na korpus NATO
Łącznie, W ramach wszystkich kampanii, wrogie działania zostały wymierzone w 14 państw, głównie członków NATO (wyjątek stanowi Ukraina, Jordania i Zjednoczone Emiraty Arabskie). Jak podaje Unit42, celem były m.in. ministerstwa (obrony, spraw zagranicznych, spraw wewnętrznych, gospodarki) czy podmioty z branży energetycznej.
Cyberataki wymierzono także w „co najmniej jeden natowski korpus Rapid Deployable Corps” – wskazują eksperci.
Czytaj też
Wsparcie polskich cyberwojsk
Przypomnijmy, że według analizy Proofpoint, tylko tego lata każdego dnia grupa APT28 podejmowała próby ataku na konta Microsoft Outlook. Łącznie mówimy o ponad 10 tys. przypadków.
DKWOC ostrzegało, że luka CVE-2023-23397 może być nadal aktywnie wykorzystywana. W związku z tym uruchomiono zestaw instrumentów, które warto uruchomić w środowisku pocztowym Microsoft Exchange. Można je znaleźć pod linkiem.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].