An der Frontlinie des globalen Cyberkriegs: Überblick über bedeutende, von Russland unterstützte APT-Gruppen, die die Ukraine ins Visier nehmen, und Sigma-Regeln zur proaktiven Verteidigung gegen ihre TTPs
Inhaltsverzeichnis:
Der Staatliche Dienst für spezielle Kommunikation und Informationsschutz der Ukraine (SSSCIP) hat kürzlich einen analytischen Bericht über die Cyberaggression Russlands gegen die Ukraine im Jahr 2022 veröffentlicht. Der Bericht gibt Einblicke in die wichtigsten Hacking-Kollektive, die seit Ausbruch des umfassenden Krieges in der Ukraine im Rampenlicht stehen, analysiert gegnerische TTPs, die zur Durchführung von Eindringversuchen verwendet werden, und behandelt die wichtigsten Trends und Angriffsvektoren, die ihre bösartige Aktivität veranschaulichen, um sowohl ukrainischen als auch globalen Organisationen zu helfen, sich proaktiv gegen russische Cyberangriffe jeglichen Ausmaßes zu verteidigen.
Am 24. Februar 2022, etwas mehr als vor einem Jahr, startete die russische Föderation eine offensive Invasion der Ukraine zu Lande, in der Luft und zur See. Der Krieg eskalierte auch im Cyberraum. Infolgedessen sind wir nun Zeugen des ersten vollwertigen Cyberkrieges in der Geschichte der Menschheit, bei dem Russland als offensiver Gegenpart agiert und die Ukraine sich und ihre Verbündeten an der Cyberfront verteidigt. Solche Angriffe als Cyberkrieg zu bezeichnen, erscheint nicht mehr wie eine Metapher.
Während jedoch die Bodenoffensive durch russische Truppen und Raketen unerwartet war, dauert der Cyberkrieg gegen die Ukraine bereits fast ein Jahrzehnt an, beginnend mit einer Reihe zerstörerischer Angriffe durch die russlandaffilierte Sandworm APT Gruppe, die die berüchtigte BlackEnergy-Malware in den Jahren 2015-2016 und die berüchtigte NotPetya-Malware im Jahr 2017 auf den ukrainischen Finanzsektor abzielten. Was wir heutzutage an der russischen Cyberfront sehen, ist das Ergebnis ihrer 30-jährigen Strategie. Der SSSCIP-Bericht besagt, dass die Moskauer Regierung ein breites Netzwerk trainierter offensiver Affiliates aufgebaut hat, die militärische Befehle ausführen können, mit Zero-Day-Exploits ausgestattet sind und umfangreiche Erfahrung im Start autonomer Kampagnen zu geringen Kosten haben, während Cyberabwehroperationen immer noch ziemlich kostenintensiv bleiben.
Laut dem SSSCIP-Bericht und basierend auf den Schätzungen von CERT-UA zu untersuchten Vorfällenführten russlandaffinierte Bedrohungsakteure 2.194 zerstörerische Cyberangriffe gegen die Ukraine durch, von denen 52% (1.148) die kritischsten und hochrangigsten waren, die erfolgreich durch die gemeinsame Anstrengung von CERT-UA und ihren Partnern untersucht und gemildert wurden. Sicherheitsexperten von Googles Threat Research Group beobachten einen Anstieg um 250 % bei Angriffen auf ukrainische Vermögenswerte im Jahr 2022 (im Vergleich zu 2021). Die Zielausrichtung, die mit der militärischen Invasion der Ukraine im Februar 2022 zusammenfiel und seitdem fortbesteht, konzentrierte sich stark auf die ukrainische Regierung und militärische Einrichtungen, neben kritischer Infrastruktur, Versorgungsunternehmen, öffentlichen Diensten und Mediensektoren. Mandiant sagte , dass es „mehr zerstörerische Cyberangriffe in der Ukraine während der ersten vier Monate des Jahres 2022 als in den vorhergehenden acht Jahren beobachtete, wobei die Angriffe zu Beginn der Invasion ihren Höhepunkt erreichten.“ Mit der Eskalation der cyberoffensiven Operationen Russlands wurde den Cyberverteidigern klar, dass keine einzelne Organisation die russlandgestützten zerstörerischen Angriffe allein abwehren kann, was die Notwendigkeit einer globalen Zusammenarbeit im Bereich Cybersicherheit hervorhebt, um Cyberaggressionen solchen Ausmaßes abzuwehren.
SOC Prime steht an der Front des globalen Cyberkrieges und hilft der Ukraine und ihren Verbündeten, sich gegen die russische Aggression zu verteidigen. Durch die Zusammenarbeit mit CERT-UA und SSSCIP forschen, entwickeln und testen wir Sigma-Regeln auf dem realen Schlachtfeld und liefern monatlich mehr als 400 neue Erkennungsinhalte, um zerstörerische Angriffe Russlands abzuwehren.
Die Plattform für kollektive Cyberabwehr von SOC Prime kuratert mehr als 10.000 verhaltensbasierte Sigma-Regeln, die mit dem MITRE ATT&CK-Rahmenwerk v12 übereinstimmen und über 27+ SIEM-, EDR- und XDR-Lösungen leicht geteilt werden können. SOC Prime teilt alle Metadaten, die mit über 260.000 Erkennungsalgorithmen verbunden sind, öffentlich, da der Informationsaustausch jedem ermöglicht, sowohl von Sigma-Regeln zu profitieren als auch zu ihnen beizutragen, da sie das gegnerische Verhalten beschreiben, das in jedem Cyberangriff eingesetzt werden kann. Ein rechtzeitiger Informationsaustausch, einschließlich TTPs und gegnerischer Verhaltensmuster, ermöglicht es Cyberverteidigern, sich in dem anhaltenden Cyberkrieg einen strategischen Vorteil zu verschaffen.
Hier finden Sie eine Liste kuratierter Erkennungsalgorithmen, um sich proaktiv gegen die bösartigen Aktivitäten russlandgestützter APT-Gruppen zu verteidigen, die in der SSSCIP-Untersuchung erwähnt werden, da Bedrohungsakteure destruktive Cyberangriffe gegen multiple Industriezweige in der Ukraine im Laufe des Jahres 2022 aktiv durchführen.
Alle Sigma-Regeln stehen im Einklang mit dem MITRE ATT&CK-Rahmenwerk v12 und sind mit führenden SIEM-, EDR- und XDR-Technologien der Branche kompatibel. Cyberverteidiger können sofort in relevante Cyberbedrohungskontexte für relevante ATT&CK- und CTI-Links, Minderungsmaßnahmen und operationale Metadaten eintauchen, um ihre Bedrohungsermittlung zu beschleunigen.
Erkennung von Gamaredon APT (UAC-0010) Gegnertätigkeit
Laut dem SSSCIP-Bericht, der die Aktivität staatlich unterstützter Hacking-Kollektive im Jahr 2022 analysiert, kann Gamaredon APT basierend auf den im zweiten Halbjahr 2022 registrierten Vorfällen als die aktivste und ausdauerndste Gruppe angesehen werden. In diesem Zeitraum richteten die Bedrohungsakteure ihre offensiven Operationen hauptsächlich auf den ukrainischen Militär-, Sicherheits- und Verteidigungssektor sowie auf Regierungsinstitutionen.
Diese nationenunterstützte, russlandaffilierte Gruppe wird unter einer Vielzahl von Namen verfolgt, einschließlich Armageddon APT alias UAC-0010, Trident Ursa, Shuckworm und Primitive Bear. Laut dem Sicherheitsdienst der Ukrainewird die Aktivität der Gruppe Russland’s Federal Security Service zugeschrieben, die auf Geheimdienst- und subversive Operationen gegen die Ukraine und NATO-Verbündete an der Cyberfront abzielen. Folgen Sie dem untenstehenden Link, um die gesamte Sigma-Regelsammlung zur Erkennung der damit verbundenen bösartigen Aktivitäten zu erreichen:
Erkennung von bösartigen Kampagnen der Sandworm APT (UAC-0082)
Ein weiteres Hacking-Kollektiv, das im Jahr 2022 im Rampenlicht stand, ist die berüchtigte, mit der GRU verbundene Einheit 74455, die auch als Sandworm APTbekannt ist und von CERT-UA als UAC-0082 verfolgt wird. In der beobachteten Periode konzentrierte sich die Gruppe hauptsächlich auf ukrainische Organisationen in den Sektoren Logistik und Transport, Medien und Energie.
Mitte April 2022 gaben CERT-UA, in Zusammenarbeit mit Microsoft und ESET, eine Warnung heraus, die den zweiten Stromausfallangriff in der Menschheitsgeschichte abdeckt, der auf UAC-0082 zurückgeführt wird. Bei diesem Angriff nutzten russische Hacker Industroyer2, eine neue Version der berüchtigten Industroyer-Malware-Familie, in Verbindung mit einer datenlöschenden Malware namens CaddyWiper. Letztere trat in die Cyberbedrohungsarena kurz nach Cyberangriffen auf, die HermeticWiper and WhisperGate Malware einsetzten, und illustriert den Wiping-Trend im ukrainischen Bedrohungsumfeld für die zweite Jahreshälfte 2022. Unten finden Sie die umfassende Liste der Sigma-Regeln zur Erkennung der bösartigen Aktivitäten der Gruppe UAC-0082 alias Sandworm.
Sigma-Regeln zur Erkennung der Gegnertätigkeit der Gruppe UAC-0082
Erkennung der bösartigen Aktivitäten der Gruppe UAC-0056
Bedrohungsakteure, die als UAC-0056 identifiziert wurden, haben ebenfalls aktiv ukrainische Organisationen seit Russlands umfassender Invasion in der Ukraine ins Visier genommen und sich dabei hauptsächlich auf die Regierung und den Bankensektor konzentriert. Dieses Hacking-Kollektiv stand hinter massiven Phishing-Angriffen im Frühjahr 2022 und nutzte dafür Cobalt Strike Beacon, GrimPlant und GraphSteel Malware. Um die Infrastruktur Ihrer Organisation proaktiv gegen Eindringversuche im Zusammenhang mit der Gruppe UAC-0056 zu schützen, bietet die SOC Prime Detection as Code Plattform eine Reihe dedizierter Sigma-Regeln an, die über einen nachfolgenden Link verfügbar sind:
Sigma-Regeln zur Erkennung von TTPs im Zusammenhang mit der bösartigen Aktivität der UAC-0056-Hacker
Erkennung der Gegnertätigkeit der Gruppe UAC-0020
Vermin, auch als UAC-0020 verfolgt, ist ein weiteres Hacking-Kollektiv, das seit 2022 im ukrainischen Bedrohungsbereich für Cyberkriminalität stirigt, das mit russlandgestützten Offensivoperationen in Verbindung steht. Ähnlich wie die Sandworm APT-Gruppe richteten sich die bösartigen Akteure von Vermin 2022 gegen den Militär-, Sicherheits- und Verteidigungssektor.
Cybersicherheitsforscher schreiben diese Gruppe der sogenannten Volksrepublik Lugansk (LPR) zu, einem nicht anerkannten selbsternannten Staat in der Donbass-Region in der Ostukraine. Laut Untersuchungen ist Vermin eine staatlich unterstützte Gruppe, die als operationelle Einheit der russischen Cyberkriegsführung an der Front des globalen Cyberkriegs agiert. Cyberverteidiger können sofort auf die gesamte Sammlung von Sigma-Regeln zugreifen, um aktuelle und aufkommende Bedrohungen, die den russlandaffiliierten UAC-0020 Cyberkriminellen zugeschrieben werden, rechtzeitig zu erkennen, indem sie dem untenstehenden Link folgen:
Sigma-Regeln zur Erkennung der bösartigen Operationen im Zusammenhang mit den Akteuren der UAC-0020
Erkennung von Cyberangriffen gegen die Ukraine im Zusammenhang mit den Akteuren der UAC-0142
Eine weitere Hackergruppe, die auf den Militär-, Sicherheits- und Verteidigungssektor abzielt, wird als UAC-0142verfolgt, die im Jahr 2022 hauptsächlich den Phishing-Angriffsvektor bei Cyberangriffen ausnutzte. Ende 2022 zielten die bösartigen Akteure darauf ab, das staatlich basierte System zur Lageerkennung, bekannt als DELTA, zu hacken, das zur Erleichterung der Koordinierung von Streitkräften auf dem Schlachtfeld verwendet wird. Um die bösartigen Eindringversuche im Zusammenhang mit den Bedrohungsakteuren der UAC-0142 rechtzeitig zu identifizieren, bietet die SOC Prime Plattform eine vollständige Sammlung relevanter Sigma-Regeln, die über den untenstehenden Link verfügbar sind:
Sigma-Regeln zur proaktiven Verteidigung gegen Cyberangriffe durch die Gruppe UAC-0142
Sicherheitsexperten können die umfassende Sammlung von Sigma-Regeln gegen russlandgestützte APTs sowie 50 einzigartige Erkennungsalgorithmen ihrer Wahl nutzen. Profitieren Sie von der Sigma2SaveLives Charity-Abonnement , bei dem 100% der Einnahmen gespendet werden, um gezielte Hilfe für das ukrainische Volk bereitzustellen, und bleiben Sie russlandaffilierten Bedrohungsakteuren stets voraus.
