Alert (AA22-110A) – jak radzić sobie z rosyjskimi APT

Już na początku lutego Rządowe Centrum Bezpieczeństwa ostrzegło służby bezpieczeństwa i administrację publiczną, aby były czujne na cyberzagrożenia ze strony Rosji. Biorąc pod uwagę arsenał cyfrowy zastosowany wobec Ukrainy na przestrzeni lat (który zresztą opisywaliśmy w oddzielnej serii artykułów) oraz faktyczną inwazję na Ukrainę pod koniec lutego 2022 – ostrzeżenie to było zasadne.

Mamy 20 kwietnia… organy ds. bezpieczeństwa cybernetycznego krajów z grupy 5 eye: Stanów Zjednoczonych, Australii, Kanady, Nowej Zelandii i Wielkiej Brytanii publikują wspólny zestaw wskazówek dotyczący cyberbezpieczeństwa.

Powód? Dane wywiadowcze wskazują, że rosyjski rząd bada opcje potencjalnych cyberataków (więcej informacji można znaleźć w oświadczeniu prezydenta USA Bidena z 21 marca 2022 r.)

Niektóre grupy cyberprzestępcze publicznie obiecały wsparcie dla rządu rosyjskiego. Te powiązane z Rosją grupy cyberprzestępcze zagroziły przeprowadzeniem operacji cybernetycznych w odwecie za rzekome cyberataki przeciwko rosyjskiemu rządowi lub narodowi rosyjskiemu. Niektóre grupy groziły również przeprowadzeniem operacji cybernetycznych przeciwko krajom i organizacjom zapewniającym wsparcie materialne Ukrainie.

Opublikowane materiały dotyczą ochrony przed sponsorowanymi przez państwo rosyjskie zagrożeniami cybernetycznymi dla infrastruktury krytycznej, które zawierają przegląd sponsorowanych przez państwo rosyjskich grup APT oraz powszechnie stosowanych taktyk, technik i procedur (TTP). Stworzono je aby pomóc społeczności zajmującej się cyberbezpieczeństwem w ochronie przed potencjalnymi zagrożeniami cybernetycznymi.

Poniżej znajduje się lista najważniejszych zasobów:

• Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure

• Cybersecurity and Infrastructure Security Agency (CISA) Shields Up oraz Shields Up Technical Guidance

• Australijskie Centrum Bezpieczeństwa Cybernetycznego (ACSC) – Australian Organisations Should Urgently Adopt an Enhanced Cyber Security Posture.

• Canadian Centre for Cyber ​​Security (CCCS) – Cyber Centre urges Canadian critical infrastructure operators to raise awareness and take mitigations against known Russian-backed cyber threat activity

• Narodowe Centrum Bezpieczeństwa Cybernetycznego Nowej Zelandii (NZ NCSC) – Understanding and preparing for cyber threats relating to tensions between Russia and Ukraine

• Wytyczne brytyjskiego Narodowego Centrum Bezpieczeństwa Cybernetycznego (NCSC-UK) – guidance & bolster cyber defences

W raportach można znaleźć zarówno ogólne wskazówki organizacyjne, jak i konkretne techniczne środki mityzacji ryzyka. Dla przykładu, poniżej pokazujemy listę najczęściej wykorzystywanych przez rosyjskie APT podatności:

• CVE-2018-13379 FortiGate VPNs

• CVE-2019-1653 Cisco router

• CVE-2019-2725 Oracle WebLogic Server

• CVE-2019-7609 Kibana

• CVE-2019-9670 Zimbra software

• CVE-2019-10149 Exim Simple Mail Transfer Protocol

• CVE-2019-11510 Pulse Secure

• CVE-2019-19781 Citrix

• CVE-2020-0688 Microsoft Exchange

• CVE-2020-4006 VMWare (note: this was a zero-day at time.)

• CVE-2020-5902 F5 Big-IP

• CVE-2020-14882 Oracle WebLogic

• CVE-2021-26855 Microsoft Exchange (Note: this vulnerability is frequently observed used in conjunction with CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065)

Powyższe działania informacyjne to odpowiedź na bezprecedensowe koszty gospodarcze nałożone na Rosję oraz wsparcie materialne ze strony sojuszników Ukrainy, które mogą skutkować cyberatakami ze strony rosyjskiej. W Polsce nie bez powodu od 24 lutego obowiązuje trzeci stopień alarmowy – CHARLIE. Dzielenie się wiedzą na ten temat jest nie tylko dobrą praktyką – jest wręcz obowiązkiem. Zapraszamy do kontaktu jeżeli jesteś zainteresowany szczegółowymi wskazówkami.