Angebot für Mehrfachlizenz-Rabatt
Computersicherheit Russische Seashell Blizzard-Hacker dringen in kritische...

Russische Seashell Blizzard-Hacker dringen in kritische Infrastrukturziele ein, warnt Microsoft

Von Mura in Computersicherheit
Übersetzen Sie in:
Deutsch

Eine gefährliche, mit Russland verbundene Hackergruppe namens Seashell Blizzard hat ihre Angriffe auf kritische Infrastrukturen weltweit intensiviert und damit Bedenken hinsichtlich langfristiger Cyber-Spionage und zerstörerischer Operationen geweckt. Einer aktuellen Warnung von Microsoft zufolge infiltriert diese Gruppe nicht nur hochwertige Systeme, sondern nistet sich auch tief ein, um die langfristige Kontrolle über kompromittierte Netzwerke aufrechtzuerhalten.

Seashell Blizzard ist ein berüchtigter russischer Bedrohungsakteur

Seashell Blizzard, auch bekannt als APT44, BlackEnergy Lite, Sandworm, Telebots und Voodoo Bear, ist seit mindestens 2009 eine erhebliche Cyberbedrohung. Es wird allgemein angenommen, dass die Gruppe dem russischen Militärgeheimdienst GRU untersteht (speziell Einheit 74455). Seashell Blizzard ist berüchtigt für seine zerstörerischen Angriffe, darunter die berüchtigte NotPetya-Ransomware, die 2017 globale Unternehmen lahmlegte, und die KillDisk-Malware, die 2015 auf kritische ukrainische Systeme abzielte.

Im Laufe der Jahre hat Seashell Blizzard kritische Infrastruktursektoren ins Visier genommen, beispielsweise:

  • Energie
  • Wasserversorgung
  • Regierungsinstitutionen
  • Militärische Netzwerke
  • Telekommunikation
  • Transport
  • Herstellung

Diese Angriffe erfolgen nicht zufällig – sie stehen im Einklang mit den militärischen Zielen Russlands, insbesondere in der Ukraine, wo der Cyberkrieg eine Schlüsselrolle in der umfassenderen Konfliktstrategie Russlands spielt.

Eine neue Untergruppe konzentriert sich auf dauerhaften Zugriff

Der jüngste Bericht von Microsoft hebt die Entstehung einer Untergruppe innerhalb von Seashell Blizzard hervor, die seit mindestens vier Jahren unter dem Radar operiert. Diese Untergruppe hat sich einer entscheidenden Mission verschrieben: sich ersten Zugriff auf anfällige Systeme zu verschaffen und diese langfristig zu blockieren. Auf diese Weise können die Hacker monate- oder sogar jahrelang die Kontrolle über kompromittierte Systeme behalten und jederzeit störende Angriffe starten.

Diese als BadPilot-Kampagne bezeichnete Kampagne läuft seit 2021 und konzentriert sich auf die Infiltration hochwertiger Ziele, um umfassendere Netzwerkkompromisse zu ermöglichen. Die Methoden der Untergruppe werden als heimlich und höchst opportunistisch beschrieben und basieren auf Schwachstellen in weit verbreiteter Software und internetbasierten Systemen.

Ausnutzen bekannter Schwachstellen

Die Angreifer nutzen bekannte Sicherheitslücken in gängigen Systemen aus, darunter:

  • ConnectWise ScreenConnect (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Zimbra Collaboration Suite (CVE-2022-41352)
  • OpenFire-Chatserver (CVE-2023-32315)
  • TeamCity Build Server (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • JBOSS-Server (nicht spezifizierter CVE)

Die Hacker verfolgen einen aggressiven „Spray-and-Pray“-Ansatz, bei dem sie das Internet nach anfälligen Systemen durchsuchen und diese dann in großer Zahl angreifen. Sobald sie sich im System befinden, dringen sie mithilfe von Tools wie Web Shells und Remote Monitoring and Management (RMM)-Software in das System ein und sichern sich so die langfristige Kontrolle über die angegriffenen Systeme.

Alarmierende Techniken zur Aufrechterhaltung der Kontrolle

Sobald ein System kompromittiert ist, setzt die Untergruppe mehrere Persistenztechniken ein:

  • Web Shell-Bereitstellungen: Bietet Backdoor-Zugriff für die Fernsteuerung.
  • RMM-Tools: Ermöglichen diskreten Zugriff und die weitere Bereitstellung von Malware.
  • Credential Harvesting: Ändern der OWA-Anmeldeseiten und DNS-Einstellungen, um Benutzeranmeldeinformationen zu stehlen.
  • JavaScript-Injektion: Hinzufügen von Schadcode zu Anmeldeportalen, um Benutzernamen und Passwörter zu erfassen.

    • In mehreren Fällen ging diesem dauerhaften Zugriff zerstörerische Angriffe voraus. Dies legt die Vermutung nahe, dass die Hacker je nach militärischen und geopolitischen Erfordernissen Russlands sowohl zur Spionage als auch zur Sabotage in der Lage sind.

    Globale Expansion: USA und Großbritannien jetzt im Fadenkreuz

    Während die Ukraine der Hauptfokus der Cyber-Operationen von Seashell Blizzard war, enthüllt der Bericht von Microsoft, dass diese Untergruppe ihren Einflussbereich im Jahr 2023 erweitert hat und nun auch Organisationen in den Vereinigten Staaten und im Vereinigten Königreich ins Visier nimmt. Die Ausweitung signalisiert eine gefährliche Verschiebung und deutet darauf hin, dass Russlands Cyberkriegsstrategie ihren Wirkungsbereich auf westliche Länder ausweitet.

    Eine anhaltende und eskalierende Bedrohung

    Microsoft warnt, dass diese Untergruppe nicht nachlässt. Tatsächlich wird sie sich wahrscheinlich weiter entwickeln und innovative Techniken einsetzen, um Netzwerke auf der ganzen Welt zu infiltrieren. Angesichts des anhaltenden Krieges Russlands in der Ukraine und der zunehmenden geopolitischen Spannungen könnten Cyberangriffe auf kritische Infrastrukturen verheerende Folgen in der realen Welt haben.

    Schützen Sie Ihr Unternehmen vor Seashell Blizzard

    Organisationen in kritischen Sektoren müssen unverzüglich Maßnahmen ergreifen, um sich gegen diese anhaltende Bedrohung zu verteidigen:

    • Bekannte Schwachstellen patchen: Stellen Sie sicher, dass Systeme, auf denen ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire und andere Zielsoftware laufen, vollständig aktualisiert sind.
    • Stärken Sie die Netzwerksicherheit: Setzen Sie eine Multi-Faktor-Authentifizierung (MFA) ein, beschränken Sie den Zugriff auf vertrauliche Systeme und achten Sie auf ungewöhnliche Aktivitäten.
    • Auf Persistenz überwachen: Führen Sie regelmäßige Sicherheitsprüfungen durch, um nicht autorisierte Webshells, RMM-Tools oder Änderungen an Anmeldeseiten und DNS-Konfigurationen zu erkennen.
    • Bereitschaft zur Reaktion auf Vorfälle: Bereiten Sie sich auf mögliche störende Angriffe vor, indem Sie einen umfassenden Reaktionsplan entwickeln und sicherstellen, dass Backups sicher sind und regelmäßig getestet werden.

    Letzte Warnung

    Seashell Blizzard und seine Untergruppe, die sich den Erstzugriff zunutze macht, stellen eine klare und gegenwärtige Gefahr für kritische Infrastrukturen weltweit dar. Ihr unermüdliches Streben nach dauerhaftem Zugriff könnte als Vorbote groß angelegter Cyber-Sabotage dienen, die Energienetze, Wasserversorgung, Transportsysteme und Regierungsabläufe lahmlegen kann. Die jüngsten Erkenntnisse von Microsoft sind eine deutliche Erinnerung: Der nächste große Cyberangriff könnte bereits in kritischen Systemen lauern und nur auf das Signal warten, um zuzuschlagen.


    Wird geladen...