„Te działania prawie na pewno nadal są prowadzone” – czytamy we wspólnym oświadczeniu wydanym przez NSA, CISA i FBI w USA, a także Narodowe Centrum Bezpieczeństwa Cybernetycznego Wielkiej Brytanii.
Cyberataki przypisano jednostce wojskowej nr 2616585 wchodzącej w skład Głównego Ośrodka Służb Specjalnych (GTsSS) Rosyjskiego Głównego Zarządu Wywiadowczego (GRU). GRU jest jednak czymś innym niż rosyjska Służba Wywiadu Zagranicznego (SVR), która zdaniem USA odpowiadała za kampanię cyberszpiegowską SolarWinds.
„To dobre przypomnienie, że GRU stanowi stałe zagrożenie, co jest szczególnie ważne ze względu na zbliżające się igrzyska olimpijskie, wydarzenie, które mogą próbować zakłócić” – powiedział wiceprezes ds. analizy w Mandiant Threat Intelligence John Hultquist. „APT28 [nazwa przydzielona przez MTI] regularnie zbiera dane wywiadowcze przeciwko takim celom w ramach swoich zadań jako cybernetyczne ramię wojskowej agencji wywiadowczej” – dodał Hultquist. „Chlebem powszednim tej grupy jest rutynowe zbieranie informacji przeciwko politykom, dyplomatom, wojsku i przemysłowi obronnemu, lecz tego rodzaju incydenty niekoniecznie muszą wskazywać na większe operacje, takie jak kampanie hakerskie i przeciekowe. Pomimo naszych najlepszych starań, nie sądzę, abyśmy kiedykolwiek powstrzymali Moskwę przed szpiegowaniem”.
Kampania GRU wydaje się koncentrować na cyberszpiegostwie. Zauważono głównie ataki na oprogramowanie i usługi prowadzone w chmurze Microsoft Office 365 (powszechnie używanej przez rząd USA), a także na serwery pocztowe Microsoft Exchange.
W ostrzeżeniu wystosowanym przez wspomniane rządy przedstawiono uproszony sposób przeprowadzenia włamania typu „cyber kill”. Wyglądał on następująco:
- najpierw uzyskiwano dostęp sieci poprzez zalogowanie się na konto przy użyciu hasła złamanego metodą brute-force lub uzyskanego w efekcie rozpylania z klastra Kubernetes hostowanego w chmurze. Kubernetes jest technologią pozwalającą na przechowywanie oprogramowania w chmurze, tu użytą do łamania aplikacji,
- następnie używano znanych luk w zabezpieczeniach (CVE 2020-0688 i CVE 2020-17144), aby ustanowić trwały dostęp i nadać szerokie uprawnienia administratora serwerów i systemu,
- szeroka eksploracja sieci pozwalała uzyskać kolejne poświadczenia i uprawnienia,
- stały dostęp uzyskiwano, korzystając z kont usług w chmurze za pomocą ważnych danych uwierzytelniających lub powłoki internetowej (wariant reGeorg) – złośliwego skryptu, który oprócz stałego dostępu umożliwia także zdalne wykonanie kodu, dodawanie, usuwanie oraz modyfikowanie plików,
- na końcu eksfiltrowano dane (wiadomości e-mail, pliki z systemów lokalnych, pliki z dysków współdzielonych w sieci oraz różne repozytoria informacji).
Cyberprzestępcy wykorzystywali szyfrowane łączności za pośrednictwem sieci Tor i wirtualnych sieci prywatnych (VPN) do ukrywania swoich działań. Używali również techniki „live off the land” polegającej na stosowaniu legalnych narzędzi umykających uwadze ekspertów bezpieczeństwa.
Ostrzeżenie zawiera też wskazówki dotyczące podejmowanych działań ochronnych. Koncentrują się one na tworzeniu silnych haseł, wieloskładnikowego uwierzytelniania, kontroli dostępu uwzględniającej limit czasowy, aktualizacji oprogramowania i ograniczonego zaufania.
