Five Eyes advarer om russiske trusler rettet mod kritisk infrastruktur

Advarslen giver detaljerede oplysninger om den russiske regering og statsstøttede cyberkriminelle grupper samt vejledning til at reducere risikoen.

I et træk, der demonstrerer internationalt samarbejde og partnerskab, udsendte Five Eyes (USA, Australien, Canada, New Zealand og Storbritanien) en advarsel, der gav et “omfattende overblik over russiske statsstøttede og cyberkriminelle trusler mod kritisk infrastruktur.” Advarslen indeholder også afhjælpningsvejledning, som CISO’er vil finde af særlig betydning.

Alert AA22-110A – Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure, indeholder oplysninger om de cyberoperationer, der kan tilskrives russiske statslige hackere, herunder den russiske føderale sikkerhedstjeneste (FSB), den russiske udenrigsefterretningstjeneste (SVR), den russiske militære efterretningstjeneste (GRU) og det russiske forsvarsministerium, Det Centrale Videnskabelige Institut for Kemi og Mekanik (TsNIIKhM). Det identificerer også cyberkriminelle organisationer, herunder nogle, der har udtrykt troskab over for Den Russiske Føderation, der har forpligtet sig til at udføre cyberoperationer mod enheder, der yder støtte til Ukraine. Heraf kan din virksomheds holdning til Ruslands invasion af Ukraine meget vel placere virksomheden som mål for russiske statslige hackere.

Behov for at investere i cybersikkerhed

Det kan ikke overvurderes, at investeringer i cybersikkerhed er nødvendigt. “Trusler mod kritisk infrastruktur forbliver meget reelle,” siger Rob Joyce, NSA’s cybersikkerhedsdirektør. “Situationen i Rusland betyder, at du skal investere og handle.”

De fire områder med øjeblikkelig bekymring, som infosec-teams skal adressere, vil ikke være fremmede for nogen enhed med bare lidt sans for cybersikkerhed:

  • Prioriter patching af kendte udnyttede sårbarheder
  • Gennemtving multifaktorgodkendelse
  • Overvåg fjernskrivebordsprotokol (RDP)
  • Giv slutbrugerens bevidsthed og uddannelse

Det faktum, at advarslen fører med disse fire elementer, som mange ville betragte som basal Cybersikkerhed, antyder, at mange enheder er blottet for en sådan skarphed.

Ruslands hackere

Advarslen går i detaljer om de forskellige hackere og en kort synopsis om disse følger:

FSB: USA og Storbritannien har tilskrevet Berserk Bear at være tilknyttet FSB’s Center 16 eller GRU Unit 71330, og at målene er “kritiske it-systemer og infrastruktur i Europa, Amerika og Asien.”

SVR:S., Canada og Storbritannien har tilskrevet SolarWinds Orion-kompromiset at være blevet gennemført af SVR. En avanceret persistent threat (APT)-gruppe fra SVR har været rettet mod kritisk infrastruktur siden mindst 2008.

GRU: Flere enheder inden for GRU er tidligere blevet identificeret som potentielle hackere. Denne advarsel fremhæver to af disse enheder, enhed 26165 og enhed 74455.

Enhed 26165 er en APT-gruppe, hvis mål primært er “offentlige organisationer, rejse- og gæstfrihedsenheder, forskningsinstitutioner og ikke-statslige organisationer ud over andre kritiske infrastrukturorganisationer.” Endvidere, Drovorub-malwaren, der anvendes til udførelse af cyberspionageaktiviteter, tilskrives at have sin oprindelse inden for GRU.

Unit 74455 er også en APT-gruppe, der primært er forbundet med cyberspionageaktiviteter med særligt fokus på kritisk infrastruktur inden for energi-, transport- og finanssektoren. Enhed 74455 berygtelse kommer fra deres effektive destruktive cyberhandlinger – DDOS og visker malware angreb. Flere regeringer har tilskrevet denne APT-gruppe at have været medvirkende til det ukrainske elnetangreb i 2016 og angrebet i 2019 mod georgiske enheder.

TsNIIKhM: Denne enhed er en del af det russiske forsvarsministeriums F &U-arm. De er dygtige til at skabe destruktiv ICS-malware. Angrebene mod amerikanske energienheder i 2021 resulterede i, at denne enhed blev sanktioneret og en medarbejder tiltalt af energiministeriet.

Primitive Bear and Venomous Bear: Disse er blevet identificeret som to statsstøttede APT-grupper efter industrien. Advarslen fremhæver, at Five Eyes endnu ikke har tilskrevet disse to enheder som værende forbundet med den russiske regering. Ikke desto mindre er grupperne rettet mod vestlige regeringsenheder, herunder ukrainske regeringsenheder, regeringer på linje med NATO, forsvarsentreprenører og andre, der anses for at være af efterretningsmæssig værdi.

Derudover, russiske cyberkriminelle grupper er blevet fremhævet og deres indsats katalogiseret inden for advarslen. Disse omfatter The CoomingProject, Killnet, Mummy Spider, Salty Spider, Scully Spider, Smokey Spider, Wizard Spider og The Xaknet Team.

Kilde: CSO Online
Fotokredit: Stock.adobe.com

Cybersikkerhed & Nyheder