Ez a közös kiberbiztonsági figyelmeztetés (CSA) egy orosz állami támogatású kiberkampányra hívja fel a figyelmet, amely nyugati logisztikai entitásokat és technológiai vállalatokat céloz, beleértve azokat is, amelyek Ukrajnának nyújtott külföldi segély koordinálásában, szállításában és kézbesítésében vesznek részt. 2022 óta a nyugati logisztikai entitások és IT-vállalatok fokozott kockázatnak vannak kitéve az orosz vezérkar Főfelderítő Igazgatósága (GRU) 85. Fő Speciális Szolgáltató Központja (85. GTsSS), katonai egység 26165 – a kiberbiztonsági közösség által több néven ismert (lásd: „Kiberbiztonsági Iparági Követés”) – általi célzásnak. A szereplők kibertámadási célú kampánya, amely technológiai vállalatokat és logisztikai entitásokat céloz, korábban nyilvánosságra hozott taktikák, technikák és eljárások (TTP-k) keverékét használja. A figyelmeztetést kiadó ügynökségek hasonló célzási és TTP-használatra számítanak a jövőben is.
A célzott vertikálisok a NATO tagállamaiban, Ukrajnában és nemzetközi szervezeteknél találhatók, és magukban foglalják:
Védelmi ipar
Szállítás és Szállítási Központok (kikötők, repülőterek stb.)
Tengeri
Légi Forgalom Irányítás
IT Szolgáltatások
A támadási életciklus során az egység 26165-ös egységének szereplői azonosítottak és célzottan követtek további, az elsődleges célponttal üzleti kapcsolatban álló entitásokat a szállítási szektorban, kihasználva a bizalmi kapcsolatokat a további hozzáférés megszerzésére [T1199].
Reconnaissance tevékenységet végeztek legalább egy vasúti irányítási ipari vezérlőrendszer (ICS) alkatrészek gyártásával foglalkozó entitás ellen is, bár a sikeres kompromittálást nem erősítették meg [TA0043].
A célzott entitásokkal rendelkező országok közé tartozik többek között Bulgária, Csehország, Franciaország, Németország, Görögország, Olaszország, Moldova, Hollandia, Lengyelország, Románia, Szlovákia, Ukrajna és az Egyesült Államok.
Az IP kamerák célzása részeként a támadók RTSP (Real Time Streaming Protocol) szervereket próbáltak enumerálni és hozzáférést szerezni a kamerák stream-jeihez. A DESCRIBE kérések Base64-kódolt hitelesítő adatokat tartalmaztak, gyakran publikusan dokumentált alapértelmezett vagy valószínűleg brute force-olt jelszavakat. A megcélzott kamerák több mint 80%-a Ukrajnában volt, a maradék többsége pedig a szomszédos országokban (Románia, Lengyelország, Magyarország, Szlovákia).
Share this post