Proruskí hackeri z Fighting Ursa útočia aj na Slovensko: Obete napádajú cez nebezpečnú slabinu v e-mailovom klientovi
Fighting Ursa je pomerne známa a aktívna proruská skupina. Napáda hlavne vládne ciele, s dôležitými informáciami pre ruskú vládu.
Proruská hackerská skupina Fighting Ursa využíva zero-day zraniteľnosť v programe Microsoft Outlook, ktorá dokáže napadnúť obeť bez toho, aby obeť na nebezpečnú správu akokoľvek reagovala. Útoky sa objavili aj u nás, informuje Unit 42.
Zero-day slabiny sú mimoriadne nebezpečným typom kybernetického ohrozenia. Ide o slabé miesta v programe alebo službe, ktoré doteraz neboli známe ani vývojárom. Objavili ich hackeri a kým ich vývojári neopravia bezpečnostnou aktualizáciou, tieto slabiny môžu hackeri voľne zneužívať, a to častokrát vo veľkom. Zero-day sa volajú preto, lebo vývojári majú presne “nula dní” na to, aby slabinu opravili.
Útoky skupiny Fighting Ursa si všimli už začiatkom tohto roka ukrajinské kyberbezpečnostné zložky. Za posledné mesiace hackeri napadli 14 národov a 30 organizácií. Všetky ciele boli vyberané tak, aby získané informácie pomohli ruskej vláde. Ako sme už spomenuli na začiatku, medzi postihnutými organizáciami boli aj tie Slovenské.
Hackeri cielia na dôležité ciele, spravidla energetické spoločnosti, logistické spoločnosti, ale aj rôzne ministerstvá. Napádajú primárne ministerstvá obrany, vnútra, ekonomiky či zahraničných vecí. Fighting Ursa sa do povedomia bezpečnostných expertov dostala dlho pred začatím konfliktu na Ukrajine. Predpokladá sa, že títo hackeri už v minulosti útočili na olympijské antidopingové vyšetrovania, alebo napádali vyšetrovanie v prípade pokusu o vraždu na území Veľkej Británie. Predpokladá sa tiež, že hackerská skupina ovplyvňovala voľby v Spojených štátoch, Francúzsku a Nemecku.
Hackeri útočia na Slovensko a našich susedov
Slabinu v programe Microsoft Outlook začali hackeri z Fighting Ursa zneužívať tri týždne po začatí invázie na Ukrajine. Ukrajinské kyberzložky odhalili túto slabinu 14. marca tohto roku a vydali opravu. Útok začína nebezpečným mailom, ktorý zneužíva slabinu NT LAN Manager technológie. Služby Microsoftu používajú primárne protokol Kerberos už od verzie Windows 2000, no ak nie je k dispozícii tento protokol, služby sa prehodia na NTLM technológiu. Microsoft Outlook je jednou z nich.
Neprehliadnite
Keď obeť dostane presne vykonštruovaný mail, Outlook pošle NTLM autentifikáciu na vzdialené úložisko útočníka. Odpoveď na autentifikciu je NTLMv2 hash, ktorý hackeri použijú na ukradnutie identity obete. Znamená to, že sa hackeri môžu následne pohybovať v sieti obete. Bezpečnostní experti veria, že za útokmi stoja hackeri z Fighting Ursa, pretože všetky doterajšie útoky prebiehali na dôležité vládne ciele. Okrem Slovenska zasiahli aj susedné Česko, Poľsko a Ukrajinu. Útočia však aj na ciele NATO.
Bezpečnostní analytici vysvetľujú, že nie je bežné, aby mali v rukách tak detailné informácie o tom, ako proruské hackerské skupiny, medzi ktoré sa radí aj Fighting Ursa, fungujú a aké sú ich ciele útokov. Preto upozorňujú, že ohrozené vládne organizácie by mali o týchto taktikách vedieť a nastaviť si ochranu endpointu tak, aby čo najlepšie dokázali zabrániť podobným útokom.
Komentáre