Midnight Blizzard. Nowa odsłona starego zagrożenia
Agencja bezpieczeństwa informacji ANSSI poinformowała w komunikacie, że podmioty wspierane przez państwo i mające powiązania z Rosją są powiązane z ukierunkowanymi cyberatakami wymierzonymi w francuskie placówki dyplomatyczne. Ataki przypisuje się klastrowi śledzonemu przez Microsoft pod nazwą Midnight Blizzard (dawniej Nobelium), który pokrywa się z aktywnością śledzoną jako APT29, BlueBravo, Cloaked Ursa, Cozy Bear i The Dukes. Chociaż pseudonimy APT29 i Midnight Blizzard są zamiennie używane w odniesieniu do zestawów włamań powiązanych z Rosyjską Służbą Wywiadu Zagranicznego (SVR), ANSSI stwierdziło, że woli traktować je jako odrębne skupiska zagrożeń obok trzeciego, zwanego Dark Halo, które uznano za odpowiedzialne za atak na łańcuch dostaw w 2020 r. za pośrednictwem oprogramowania SolarWinds.
„Nobelium charakteryzuje się wykorzystaniem określonych kodów, taktyk, technik i procedur. Większość kampanii Nobelium przeciwko podmiotom dyplomatycznym wykorzystuje przejęte, legalne konta e-mail należące do personelu dyplomatycznego i prowadzi kampanie phishingowe przeciwko instytucjom dyplomatycznym, ambasadom i konsulatom” – podała agencja.
Warto zaznaczyć, że atak na placówki dyplomatyczne monitorowany jest również pod nazwą Diplomatic Orbiter. Ataki polegają na wysyłaniu wiadomości e-mail typu phishing do francuskich organizacji publicznych przez zagraniczne instytucje i osoby, które wcześniej zostały przejęte przez cyberprzestępców. Wiadomości te mają na celu zainicjowanie serii złośliwych działań.
Konsekwencje ataków — realne zagrożenie dla bezpieczeństwa
W maju 2023 r. kilka europejskich ambasad w Kijowie padło ofiarą kampanii phishingowej przeprowadzonej przez operatorów Nobelium. „Ambasada Francji w Kijowie była jednym z celów tej kampanii, która została przeprowadzona za pośrednictwem wiadomości e-mail, której tematem był 'Samochód dyplomatyczny na sprzedaż'” – czytamy w oświadczeniu ANSSI. Inny atak, zaobserwowany w tym samym miesiącu, wymierzony w ambasadę francuską w Rumunii, ostatecznie się nie powiódł.
Nobelium wykorzystuje różnorodne metody ataku, w tym luki w zabezpieczeniach serwerów JetBrains TeamCity w ramach kampanii oportunistycznej. W ostatnich miesiącach ugrupowanie to było również łączone z naruszeniami Microsoftu i Hewlett Packard Enterprise (HPE). „Obieranie za cel podmiotów z branży IT i cyberbezpieczeństwa w celach szpiegowskich przez operatorów Nobelium potencjalnie wzmacnia ich zdolności ofensywne i zagrożenie, jakie reprezentują” – stwierdziła agencja. „Informacje zebrane podczas niedawnych ataków na podmioty sektora IT mogą również ułatwić przyszłe działania Nobelium”.
Globalny kontekst cyberzagrożeń
Ujawnienie tych informacji przez ANSSI następuje po tym, jak Polska ogłosiła, że rosyjscy hakerzy mogą stać za atakiem DDoS na Telewizję Polską (TVP), który doprowadził do zakłócenia transmisji internetowej turnieju piłki nożnej Euro 2024, który odbył się 16 czerwca 2024 r. Incydenty te pokazują, że zagrożenie ze strony państwowych grup cybernetycznych jest realne i rośnie. Wymaga to skoordynowanej odpowiedzi międzynarodowej, aby skutecznie przeciwdziałać takim atakom i chronić wrażliwe informacje oraz infrastrukturę krytyczną.
Biorąc pod uwagę powyższe, niezbędne jest wzmocnienie współpracy międzynarodowej w zakresie cyberbezpieczeństwa oraz podjęcie zdecydowanych działań na rzecz ochrony przed cyberatakami. Kluczowe jest również podnoszenie świadomości na temat zagrożeń i edukacja użytkowników w zakresie bezpiecznego korzystania z technologii informacyjnych
