СЗР здійснює свої націлювання як специфічно, так і широко, заявили кібер-агентства США і Великобританії.
Загальний вигляд штаб-квартири Служби зовнішньої розвідки Росії (СЗР) за межами Москви, 29 червня 2010 року. (Олексій САЗОНОВ/AFP через Getty Images)
Російські урядові хакери використовують відомі, не виправлені вразливості, щоб завдати шкоди конкретним організаціям, таким як уряди і оборонні підрядники, а також сканують Інтернет на предмет наявності вразливих до атак систем, йдеться в спільному повідомленні кіберслужб США і Великої Британії.
Суб’єкти загрози, пов’язані зі Службою зовнішньої розвідки Росії (СЗР), «мають значні можливості і зацікавлені у використанні вразливостей у програмному забезпеченні», щоб отримати початковий доступ до організації-мішені, а потім переміщатися в її системах, йдеться в повідомленні від 10 жовтня.
Це спроба ФБР, Агентства національної безпеки, Національних сил кібернетичної місії та Національного центру кібербезпеки Великої Британії попередити громадськість про тактику і методи, які SVR використовувала під час нещодавніх атак. Це оновлення рекомендацій від 2021 року.
Вони пишуть, що для зловмисників SVR існує два типи об’єктів, на які спрямовані їхні атаки: «цілі наміру», до яких належать технологічні компанії, аналітичні центри та міжнародні організації, а також “цілі можливостей”.
Перші групи «обираються з метою збору іноземних розвідувальних і технічних даних, а також отримання доступу для подальшої компрометації ланцюгів постачання і збуту», – йдеться в консультативній записці.
Що стосується другого типу, то «масове сканування і опортуністична експлуатація вразливих систем, на противагу більш цілеспрямованим операціям, збільшує поверхню загрози, включаючи практично будь-яку організацію з вразливими системами», – пишуть відомства. «Випадкові цілі – це організації з інфраструктурою, доступною через Інтернет, вразливі до експлуатації через публічно оприлюднені вразливості, слабкі засоби контролю автентифікації або неправильні конфігурації системи».
Приклади вразливостей, які SVR використовувала останнім часом, наводяться в програмних продуктах JetBrains TeamCity і Zimbra, про які йдеться в повідомленні. Вони також використовували облікові записи Microsoft Teams, які видають себе за службу технічної підтримки в чаті Microsoft Teams, щоб маніпулювати користувачами, змушуючи їх надавати їм доступ.
Хакери SVR діють непомітно, наприклад, використовують анонімний браузер TOR і намагаються знищити свою інфраструктуру, коли їх виявляють, йдеться в повідомленні.
Агентства радять організаціям відключити непотрібні їм інтернет-сервіси, використовувати багатофакторну автентифікацію і перевіряти хмарні акаунти на предмет незвичайної активності.
Раніше цього року ті ж агентства та інші з інших країн випустили рекомендації про те, як хакери SVR намагаються отримати доступ до хмарних сервісів.
Агентства попереджають, що російські урядові хакери шукають незалатані вразливості
