Wielka Brytania Narodowe Centrum Cyberbezpieczeństwa (NCSC) i jej odpowiedniki z sojuszu wywiadowczego Five Eyes połączyły siły z partnerami z Czech, Estonii, Niemiec, Łotwy i Ukrainy, aby zidentyfikować rosyjską jednostkę cybernetyczną, która od czterech lat prowadzi nieprzerwaną kampanię złośliwych działań.
Jednostka 29155, będąca częścią Głównego Zarządu Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej, czyli GRU, na przestrzeni lat przeprowadziła liczne włamania do sieci komputerowych, wdrażając narzędzia, takie jak złośliwe oprogramowanie Whispergate, wykorzystywane w operacjach cyberwojny przeciwko Ukrainie.
Whispergate, złośliwe oprogramowanie podobne do NotPetya, było rozmieszczone na terenie całej Ukrainy przed nielegalną inwazją Rosji w lutym 2022 r. Na pierwszy rzut oka wydaje się, iż działa jak blokada ransomware, ale jego aktywność ukrywa jego prawdziwy cel, którym jest atakowanie głównych rekordów rozruchowych systemów w celu ich usunięcia.
O powiązaniach Whispergate ze służbami wywiadowczymi Moskwy wiadomo już było, ale po raz pierwszy przypisano tę aferę konkretnej operacji APT (zaawansowanych, trwałych zagrożeń).
„Ujawnienie Jednostki 29155 jako zdolnego aktora cybernetycznego pokazuje, jak dużą wagę rosyjski wywiad wojskowy przywiązuje do wykorzystania cyberprzestrzeni do prowadzenia nielegalnej wojny na Ukrainie i innych priorytetów państwa” — powiedział dyrektor operacyjny NCSC Paul Chichester.
„Wielka Brytania, wraz z naszymi partnerami, zobowiązała się do wytykania rosyjskiej złośliwej aktywności cybernetycznej i będzie to kontynuować. NCSC zdecydowanie zachęca organizacje do stosowania się do porad i wskazówek dotyczących łagodzenia skutków zawartych w poradniku, aby pomóc w obronie swoich sieci”.
Jednostka 29155, oznaczona również jako 161św. Specialist Training Centre, określane przez badaczy zagrożeń sektora prywatnego jako Cadet Blizzard, Ember Bear (Bleeding Bear), Frozenvista, UNC2589 i AUC-0056, prawdopodobnie składa się z młodszego personelu GRU w służbie czynnej, ale wiadomo również, iż polega na zewnętrznych kontrahentach, w tym znanych cyberprzestępcach i ich pomocnikach, w celu realizacji swoich operacji. Różni się w pewnym stopniu od bardziej ugruntowanych APT wspieranych przez GRU, takich jak Unit 26165 (znany również jako Fancy Bear) i Jednostka 74455 (znany również jako Sandworm).
NCSC poinformowało, iż cyberoperacje Jednostki 29155 polegały na wybieraniu i kierowaniu ofiar głównie w celu zbierania informacji na potrzeby szpiegostwa, aby oszpecić ich publicznie dostępne strony internetoweszkodzą reputacji kradnąc i ujawniając poufne informacje oraz sabotując ich codzienne funkcjonowanie.
Według FBI, Jednostka 29155 przeprowadziła tysiące ćwiczeń skanowania domen w wielu państwach członkowskich NATO i Unii Europejskiej (UE), ze szczególnym uwzględnieniem CNI, rządu, usług finansowych, transportu, energetyki i opieki zdrowotnej. Amerykanie mówią mogła również odpowiadać za akty szpiegostwa fizycznego, w tym próby zamachów stanu i choćby próby zabójstw.
Sposób działania
Jednostka 29155 często wykorzystuje publicznie ujawnione luki CVE do przeprowadzania włamań, często pozyskując skrypty wykorzystujące luki w zabezpieczeniach z publicznych repozytoriów GitHub. Wiadomo, iż jej celem były luki w systemach Microsoft Windows Server, Atlassian Confluence Server i Data Center oraz Red Hat, a także w produktach zabezpieczających chińskiej firmy Dahua, producenta kamer IP, oraz firmy Sophos.
Preferuje taktykę „red teaming” i publicznie dostępne narzędzia zamiast rozwiązań tworzonych na zamówienie, co w przeszłości prawdopodobnie prowadziło do tego, iż część jej cyberataków przypisywano innym grupom, z którymi się pokrywa.
W ramach tej działalności Jednostka 29155 utrzymuje obecność w podziemnej społeczności cyberprzestępców, prowadząc konta na różnych forach dark webu, z których korzysta, aby uzyskać przydatne narzędzia w tym złośliwe oprogramowanie i ładowarki.
Podczas ataków Jednostka 29155 będzie zwykle korzystać z usługi VPN w celu anonimizacji swojej aktywności operacyjnej i wykorzystywania słabości w systemach mających dostęp do Internetu. Ponadto, w celu uzyskania wstępnego dostępu, będzie posługiwać się wspomnianymi powyżej lukami bezpieczeństwa (CVE).
Po wejściu do środowiska ofiary używa Shodan do skanowania podatnych urządzeń Internetu rzeczy (IoT), w tym kamer IP, takich jak wspomniane powyżej kamery Dahua, i używa skryptów eksploatacji do uwierzytelniania się dzięki domyślnych nazw użytkowników i haseł. Następnie próbuje wykonać zdalne wykonanie polecenia przez sieć na tych podatnych urządzeniach, co, jeżeli zostanie wykonane pomyślnie, pozwala im na zrzucenie ustawień konfiguracji i poświadczeń w postaci zwykłego tekstu.
Po pomyślnym wykonaniu exploita na systemie ofiary, Jednostka 29155 może następnie uruchomić ładunek Meterpretera, używając odwrotnego połączenia Transmission Control Protocol (TCP), aby komunikować się ze swoją infrastrukturą poleceń i kontroli (C2). Wiadomo, iż na potrzeby C2 Jednostka 29155 używała szeregu wirtualnych serwerów prywatnych (VPS) do hostowania swoich narzędzi operacyjnych, prowadzenia działań rozpoznawczych, wykorzystywania infrastruktury ofiary i kradzieży danych.
Po uzyskaniu dostępu do sieci wewnętrznych zaobserwowano, iż Unit 29155 używa narzędzi tunelowania DNS (Domain Name System) do tunelowania ruchu sieciowego IPv4, konfigurując serwery proxy w infrastrukturze ofiary i wykonując polecenia w sieci dzięki ProxyChains, aby zapewnić dalszą anonimowość. Używał również narzędzia tunelowania open source GOST (za pośrednictwem serwera proxy SOCKS5) o nazwie java.
W wielu atakach zaobserwowano, iż Unit 29155 eksfiltruje dane ofiar do zdalnych lokalizacji dzięki programu wiersza poleceń Rclone, a także eksfiltruje różne procesy i artefakty systemu Windows, w tym zrzuty pamięci usługi Local Security Authority Subsystem Service (LSASS), pliki Security Accounts Manager (SAM) oraz pliki dziennika zdarzeń SECURITY i SYSTEM. Ponadto, jednostka ta narusza serwery pocztowe i eksfiltruje artefakty, w tym wiadomości e-mail, za pośrednictwem programu PowerShell.
Dostępne są bardziej szczegółowe informacje techniczne, w tym nowa analiza Whispergate i wskazówki dotyczące łagodzenia skutków z Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury USA w głównym ogłoszeniu doradczym. Obrońcy są proszeni o zapoznanie się z pracą Jednostki 29155 i stosowanie się do zaleceń zawartych w pełnym ostrzeżeniu.
