Ruskí hackeri zneužili zraniteľnosť jedného z najväčších webmail serverov v Európe za účelom kyberšpionáže
Bezpečnostní analytici informujú o novej vlne útokov na e-mailové servery Roundcube, za ktorými teraz stojí Winter Vivern.
Ruským hackerom sa podarilo objaviť a zneužiť cross-site skriptovaciu slabinu (XSS) na serveroch e-mailovej služby Roundcube. Cez túto slabinu a servery dokázali napadnúť kritickú vládnu infraštruktúru viacerých európskych krajín, tvrdí CS Online.
Ide o hackerov zo skupiny Winter Vivern, ktorí vykonávali špionážnu činnosť vo viac ako 80 vládnych organizáciách naprieč Gruzínskom, Poľskom a Ukrajinou. Posledná vlna aktivity hackerov prebiehala od októbra do decembra minulého roku a svojou formou pripomína činnosti iných proruských skupín, napríklad BlueDelta alebo Sandworm. Obe skupiny už v minulosti napádali e-mailové služby vrátane Roundcube.
Bezpečnostní experti dokázali hackerskú skupinu Winter Vivern spojiť s útokom proti e-mailovým serverom vlády Uzbekistanu vo februári minulého roka. Táto hackerská skupina viackrát zneužila bezpečnostné slabiny strednej vážnosti. Čo sa týka najnovších útokov na servery RoundCube, tam hackeri zneužili slabinu XSS, ktorá im umožnila nahrať na servery škodlivý JavaScript kód.
Podľa dostupných informácií hackeri vykonávajú špionážne operácie, ktoré majú slúžiť záujmom Ruska a Bieloruska. Wintern Vivern je aktívnou od decembra 2020. V marci 2023 zaútočili na ďalší mailový server Zimbra, pričom opäť útočili na Európske vládne organizácie.
“Vyzerá to tak, že zraniteľné webmailové servery sú všeobecný modus operandi tejto proruskej hackerskej skupiny. Na servery Roundcube pritom už v minulosti zaútočilo niekoľko ďalších hackerských skupín. Hackeri z BlueDelta taktiež využili v roku 2022 kritickú zero-day slabinu v programe Microsoft Outlook,” tvrdia bezpečnostní experti z Insikt Group.
Winter Vivern útočí po celej Európe
Slabina v serveroch Roundcube ovplyvňuje staršie verzie softvéru. Bezpečnostní experti preto radia organizáciám, aby sa ubezpečili že majú aktualizovaný softvér. Popri tom by však mali aj starostlivo monitorovať situáciu a hľadať akékoľvek známky toho, že sa hacker nabúral do siete. Hoci hackeri hľadajú ciele po celej Európe, najviac obetí sa nachádza na Ukrajine.
Neprehliadnite
V tomto smere bezpečnostní experti vnímajú e-mailové servery ako významnú slabinu v kontexte stále prebiehajúceho vojenského konfliktu. Hackeri idú po informáciách, ktoré by im prezradili viac o vojenských operáciách a stratégii Ukrajiny.
Bezpečnostní analytici si však všimli aj niečo zvláštne. Ukázalo sa, že hackeri z Winter Vivern cielia aj na iránske veľvyslanectvá v Rusku a Holandsku. To je prekvapujúce zistenie, pretože Irán podporuje Rusko v konflikte na Ukrajine. Wintern Vivern však špehuje aj vládne ciele v Gruzínsku. To až tak prekvapivé nie je, vzhľadom na to, že Gruzínsko má ambície vstúpiť do Európskej únie a NATO.
Winter Vivern ale pôsobí globálne. Ešte v marci minulého roku podľa hlásení napadli vládnych činiteľov Spojených štátov a v rovnakom čase útočili aj inde na svete. Činnosť skupiny Winter Vivern ukázala, že hrozba hackerov aj naďalej ostáva veľká. Väčšie hackerské skupiny útočia hlavne na vládne ciele a infraštruktúru krajín, pričom tie prorusky ladené svoje útoky cielia na celú Európu a členov NATO. Slovensko v tomto prípade nie je výnimkou.
Komentáre