W ramach współpracy międzynarodowej i partnerstwa, tzw. Grupa Pięciorga Oczu (Stany Zjednoczone, Australia, Kanada, Nowa Zelandia i Wielka Brytania) wydała ostrzeżenie zawierające „kompleksowy przegląd sponsorowanych przez państwo rosyjskie i cyberprzestępczych zagrożeń dla infrastruktury krytycznej”. Alert zawiera również wskazówki dotyczące środków zaradczych, które dla CISO będą szczególnie ważne.

Alert AA22-110A - Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure (Rosyjskie sponsorowane przez państwo i cyberprzestępcze zagrożenia dla infrastruktury krytycznej) zawiera szczegółowe informacje na temat operacji cybernetycznych przypisywanych rosyjskim podmiotom państwowym, w tym rosyjskiej Federalnej Służbie Bezpieczeństwa (FSB), rosyjskiej Służbie Wywiadu Zagranicznego (SVR), Głównemu Zarządowi Wywiadowczemu Sztabu Generalnego (GRU) oraz rosyjskiemu Ministerstwu Obrony, Centralnemu Instytutowi Naukowemu Chemii i Mechaniki (TsNIIKhM). Identyfikuje również organizacje cyberprzestępcze, w tym niektóre z nich, które wyraziły lojalność wobec Federacji Rosyjskiej, które zobowiązały się do prowadzenia operacji cybernetycznych przeciwko podmiotom udzielającym wsparcia Ukrainie. Tak więc, stanowisko Twojej firmy w sprawie inwazji Rosji na Ukrainę może sprawić, że znajdzie się ona na celowniku rosyjskich podmiotów państwowych lub ich kolesi zajmujących się cyberprzestępczością.

Zobacz również:

• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
• Rzecznik Mety skazany przez rosyjski sąd na sześć lat więzienia
• Konflikt pomiędzy Izraelem a Hamasem rozszerza się na cyberprzestrzeń

Konieczność inwestowania w bezpieczeństwo cybernetyczne

Nie da się przecenić konieczności inwestowania w bezpieczeństwo cybernetyczne. „Zagrożenia dla infrastruktury krytycznej pozostają bardzo realne. Sytuacja w Rosji oznacza, że trzeba inwestować i podejmować działania” - powiedział Rob Joyce, dyrektor ds. bezpieczeństwa cybernetycznego NSA.

Cztery obszary wymagające natychmiastowej uwagi, którymi powinny zająć się zespoły ds. bezpieczeństwa informacji, nie będą obce żadnemu podmiotowi posiadającemu choć odrobinę wiedzy na temat bezpieczeństwa cybernetycznego:

• Priorytetowe łatanie znanych, wykorzystanych luk

• Egzekwowanie wieloczynnikowego uwierzytelniania

• Monitorowanie protokołu zdalnego pulpitu (RDP)

• Zapewnienie świadomości i szkoleń dla użytkowników końcowych

Fakt, że alert rozpoczyna się od tych czterech punktów, które wielu uznałoby za „Cybersecurity 101”, sugeruje, że wiele podmiotów jest pozbawionych takiej wiedzy.

Osoby odpowiedzialne za bezpieczeństwo cybernetyczne odniosą korzyść z dogłębnego zapoznania się z treścią tego komunikatu, w którym wyraźnie przewija się aksjomat „wiedza to potęgi klucz”, ponieważ międzynarodowe komentarze i oświadczenia o przypisaniu odpowiedzialności dostarczają dodatkowych wyjaśnień na temat wielu historycznych incydentów związanych z bezpieczeństwem cybernetycznym.

Rosyjskie podmioty odpowiedzialne za zagrożenia cybernetyczne

W alercie bardzo szczegółowo omówiono różne podmioty stanowiące zagrożenie, a poniżej znajduje się ich krótkie streszczenie:

FSB: Stany Zjednoczone i Wielka Brytania przypisały Berserk Bearowi powiązania z Centrum 16 FSB lub jednostką GRU 71330, a celem są „krytyczne systemy IT i infrastruktura w Europie, obu Amerykach i Azji”.

SVR:S., Kanada i Wielka Brytania uznały, że atak na SolarWinds Orion został przeprowadzony przez SVR. Grupa APT (advanced persistent threat) działająca w ramach SVR jest celem ataków na infrastrukturę krytyczną co najmniej od 2008 roku.

GRU: Wiele jednostek w ramach GRU zostało wcześniej zidentyfikowanych jako potencjalni uczestnicy cyberzagrożeń. W niniejszym ostrzeżeniu zwrócono uwagę na dwie z tych jednostek: Jednostkę 26165 i Jednostkę 74455.

- Jednostka 26165 jest grupą APT, której celem są przede wszystkim „organizacje rządowe, turystyczne i hotelarskie, instytucje badawcze, organizacje pozarządowe oraz inne organizacje infrastruktury krytycznej”. Ponadto przypisuje się, że złośliwe oprogramowanie Drovorub wykorzystywane do prowadzenia działań cyberszpiegowskich ma swoje źródło w GRU.

- Jednostka 74455 to również grupa APT związana głównie z działalnością w zakresie cyberszpiegostwa, ze szczególnym naciskiem na infrastrukturę krytyczną w sektorach energetycznym, transportowym i usług finansowych. Jednostka 74455 zdobyła rozgłos dzięki swoim skutecznym destrukcyjnym działaniom cybernetycznym - atakom DDOS i złośliwemu oprogramowaniu typu wiper. Wiele rządów przypisuje tej grupie APT udział w ataku na ukraińską sieć energetyczną w 2016 r. oraz w ataku na podmioty gruzińskie w 2019 r.

TsNIIKhM: Podmiot ten jest częścią działu badawczo-rozwojowego rosyjskiego Ministerstwa Obrony. Doskonale radzi sobie z tworzeniem destrukcyjnego złośliwego oprogramowania ICS. W wyniku ataków na amerykańskie podmioty energetyczne w 2021 roku podmiot ten został objęty sankcjami, a jego pracownik postawiony w stan oskarżenia przez Departament Energii.

Primitive Bear i Venomous Bear: Zostały one zidentyfikowane przez branżę jako dwie sponsorowane przez państwo grupy APT. W ostrzeżeniu podkreślono, że organizacja Five Eyes nie przypisała jeszcze tym dwóm podmiotom związków z rządem rosyjskim. Mimo to, grupy te obierają za cel zachodnie podmioty rządowe, w tym podmioty rządowe na Ukrainie, rządy sprzymierzone z NATO, kontrahentów z branży obronnej oraz inne podmioty uznane za wartościowe z punktu widzenia wywiadu.

Ponadto w alercie wskazano rosyjskie grupy cyberprzestępcze i skatalogowano ich działania. Należą do nich The CoomingProject, Killnet, Mummy Spider, Salty Spider, Scully Spider, Smokey Spider, Wizard Spider oraz The Xaknet Team.

Zgłaszanie incydentów i nietypowej aktywności cybernetycznej

W ostrzeżeniu poproszono organizacje o zgłaszanie incydentów i nietypowej aktywności cybernetycznej do odpowiednich rządowych organów ds. bezpieczeństwa cybernetycznego oraz podano informacje kontaktowe do CISA.

Dyrektor CISA Jen Easterly podkreśliła: "Wiemy, że złośliwa aktywność cybernetyczna jest częścią rosyjskiego podręcznika. Wiemy również, że rząd rosyjski bada możliwości potencjalnych ataków cybernetycznych na amerykańską infrastrukturę krytyczną. Opublikowane dzisiaj przez CISA oraz naszych partnerów międzyagencyjnych i międzynarodowych porady dotyczące bezpieczeństwa cybernetycznego potwierdzają, że rosyjskie grupy cyberprzestępcze sponsorowane przez państwo i powiązane z Rosją są groźne dla naszej ojczyzny.

Easterly wezwał wszystkie organizacje do zapoznania się ze wskazówkami zawartymi w poradniku oraz na stronie internetowej CISA Shields Up, która jest regularnie aktualizowana.

Źródło: CSO