Több EU tagország is azt állítja, hogy megtámadta őket az orosz APT28

Németország pénteken közölte, hogy az APT28 nevű, Oroszországhoz köthető nemzetállami szereplő áll a Szociáldemokrata Párt elleni támadás mögött, amely számos e-mail fiókot veszélyeztetett.

Csehország Külügyminisztériuma szintén jelezte, hogy az ország néhány meg nem nevezett szervezetét megtámadták.

Később csatlakozott hozzájuk Lengyelország is és Varsó bejelentette, hogy célba vette őket egy orosz hacker csoport.

A támadásokhoz a CVE-2023-23397 biztonsági hibát használták ki, amely egy mostanra javított, kritikus jogosultságnövelő hiba az Outlookban és lehetővé teheti, hogy egy támadó hozzáférjen a Net-NTLMv2 hash-ekhez, majd azokat a saját hitelesítésére használja.

A NATO és az Európai Unió nemzetközi partnereivel együtt hivatalosan elítélte az APT28 orosz fenyegető csoport által az európai országok ellen folytatott hosszú távú kiberkémkedési kampányát.

Az APT28-at, amely valószínűleg az Oroszország katonai hírszerző ügynökségének (GRU) 26165 katonai egységéhez kapcsolódik, a kiberbiztonsági közösség BlueDelta, Fancy Bear, Forest Blizzard (korábban Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy és TA422 néven is ismerheti.

A múlt hónap végén a Microsoft a hackercsoportnak tulajdonította a Microsoft Windows Print Spooler komponensének (CVE-2022-38028, CVSS pontszám: 7,8) nulladik napként történő kihasználását a GooseEgg nevű, korábban ismeretlen, egyedi kártevőprogram terjesztéséhez, amellyel ukrán, nyugat európai és észak amerikai kormányzati, nem kormányzati, oktatási és közlekedési szektorbeli szervezetekbe szivárogtak be.

Valószínűleg ők álltak a német parlament (Deutscher Bundestag) 2015-ös betörése, valamint a Demokratikus Kongresszusi Kampánybizottság (DCCC) és a Demokratikus Nemzeti Bizottság (DNC) hacker támadásai mögött közvetlenül a 2016-os amerikai elnökválasztás előtt.

A NATO szerint Oroszország akciói fenyegetést jelentenek a szövetségesek biztonságára. Az Európai Unió Tanácsa is bekapcsolódott, kijelentve, hogy a “rosszindulatú kiberkampány Oroszország folyamatos felelőtlen viselkedési mintáját mutatja a kibertérben”.

Idén február elején egy összehangolt akció megzavart egy több száz amerikai és németországi kis irodai és otthoni irodai (SOHO) routerből álló botnetet, amelyet az APT28 szereplői a feltételezések szerint arra használtak, hogy elrejtsék rosszindulatú tevékenységüket, például a CVE-2023-23397 kihasználását az érdeklődésre számot tartó célpontok ellen.

A Cloudflare és a NETSCOUT adatai azt mutatják, hogy a NATO szövetségbe való felvételét követően megugrottak a Svédországot célzó DDoS-támadások, ami tükrözi a Finnország 2023-as NATO csatlakozása során megfigyelt mintát.

(thehackernews.com)