Takto ruskí hackeri z Forest Blizzard kradnú prihlasovacie a iné údaje: Útočia po celom svete
Ruská hackerská skupina Forest Blizzard sa špecializuje na špionáž, pričom používa vlastné sofistikované nástroje.
Bezpečnostní analytici Microsoftu publikovali výsledky vyšetrovania jednej z proruských hackerských skupín Forest Blizzard. Táto skupina používa vlastné nástroje na udelenie povolení a následne kradne prihlasovacie údaje z napadnutých sietí.
Forest Blizzard je aktívnou najskôr od júna 2020, no objavujú sa náznaky, že skupina vyčíňala ešte v apríli 2019. Vlastný nástroj, ktorý hackeri používajú, nazývajú bezpečnostní experti GooseEgg. Zneužíva slabinu vo Windows Print Spooler service tým, že upravuje JavaScript súbor a spúšťa ho so systémovými povoleniami. Hackeri útočia na Ukrajine, v západnej Európe a Severnej Amerike. Útočia na vládne a mimovládne organizácie, vzdelávací sektor a logistiku.
GooseEgg je vo svojej podstate jednoduchou launcher aplikáciou, ktorá ale dokáže vykonať celú radu rôznych útokov. Hackerom dovoľuje spustiť kód na diaľku, inštalovať zadné vrátka alebo sa pohybovať cez napadnutú sieť.
Forest Blizzard sa zameriava hlavne na strategickú špionážnu činnosť, čím sa odlišuje od iných skupín, sponzorovaných Kremľom. Bezpečnostní experti však podotýkajú, že aj iné hackerské skupiny využili na svoje útoky podobné stratégie.
Microsoft odhalil, že keď hackeri získavajú prístup k cielenému zariadeniu, následne použijú GooseEgg na to, aby získali vyššie povolenia v rámci prostredia.
Neprehliadnite
Najlepšia ochrana pred touto formou útoku je nainštalovanie bezpečnostnej aktualizácie, ktorá odstraňuje Print Spooler slabinu. Aktualizáciu vydal Microsoft ešte v rokoch 2021 a 2022 pre GooseEgg a PrintNightmare útoky. No aj napriek tomu, ku mnoho organizácií nemá nainštalovanú. Organizácie, ktoré túto aktualizáciu ešte nemajú, by si ju mali stiahnuť čo najskôr. Dovtedy môžu byť terčom tejto hackerskej skupiny. Odporúča sa zároveň vypnúť Print Spooler službu kdekoľvek, kde sa nevyžaduje.
Microsoft zároveň odporúča byť defenzívny. Spoločnosti by mali mať kvalitnú stratégiu pre zamestnancov ohľadom vytvárania prihlasovacích údajov a pravidelného menenia hesla.
Útoky zatiaľ neutíchajú
Ako sme už spomenuli, Forest Blizzard útočia po celom svete vrátane Európy a Spojených štátov. Ich útoky sa zameriavajú hlavne na väčšie organizácie z rôznych dôležitých štátnych aj mimoštátnych sfér. Bezpečnostní experti z Microsoftu však postrehli útoky aj na médiá, IT sektor a športové organizácie. Cieľom hackerov je získať informácie, ktoré by pomohli ruskej vláde v zahraničných veciach.
Hackeri neútočia na obyčajných ľudí, no ak pracujete v jednom z ohrozených sektorov, aj vy sa môžete stať obeťou útoku.
Hackeri sponzorovaní ruskou vládou už viackrát zaútočili aj na Slovensko. Koncom minulého roka napríklad zasiahla našu krajinu skupina Fighting Ursa, ktorá zneužívala zero-day slabinu v programe Microsoft Outlook. Cez túto chybu dokázali hackeri napadnúť zariadenie obete bez toho, aby obeť na správu akokoľvek reagovala.
Aj v tomto prípade sa útočilo hlavne na dôležité vládne a mimovládne ciele. Bezpečnostní experti získavajú naozaj detailné informácie o tom, ako proruské hackerské skupiny operujú. Predpokladá sa, že útoky budú aj v budúcnosti pokračovať, preto by mali ohrozené organizácie o týchto taktikách vedieť a prispôsobiť sa tak, aby budúce útoky vedeli čo najlepšie odraziť.
Komentáre