Angriffe der Einheit 29155 Erkennen: Russland-Verbundenes Militärnachrichtendienst-Zentrum Zielt auf Kritische Infrastruktur Weltweit
Inhaltsverzeichnis:
Berüchtigte russland-affiliierte Hackergruppen stellen Abwehrkräfte vor gewaltige Herausforderungen, indem sie kontinuierlich ihre gegnerischen TTPs verbessern und Techniken zur Erkennungsevasion verfeinern. Nach dem Ausbruch des Krieges in der Ukraine sind russia-unterstützte APT-Kollektive besonders aktiv, während sie den Konflikt als Testgelände für neue bösartige Ansätze nutzen. Zudem werden bewährte Methoden gegen wichtige Zielobjekte von Interesse der Moskauer Regierung weltweit eingesetzt. So hat beispielsweise im Oktober 2023 die russische APT28 die öffentlichen und privaten Sektoren in Frankreich gehackt und dabei dieselben Schwachstellen und TTPs wie in der Ukraine im Zeitraum 2022-2023 verwendet. Die jüngste gemeinsame Warnung von CISA, NSA und FBI warnt abermals Cyber-Verteidiger vor der zunehmenden Bedrohung durch russland-affiliierte Akteure. Insbesondere die mit dem russischen Generalstab der Hauptnachrichtendirektion (GRU) in Verbindung stehende militärische Nachrichteneinheit, die als Einheit 29155 verfolgt wird, ist verantwortlich für eine langanhaltende Offensive gegen kritische Infrastruktursektoren in den USA und weltweit. Die Operationen dauerten seit Januar 2022, als Cyber-Akteure zerstörerische
WhisperGate-Malware WhisperGate malware gegen mehrere Organisationen in der Ukraine einsetzten. Neben Operationen wie WhisperGate und anderen Cyberangriffen auf die Ukraine haben Cyberakteure Netzoperationen gegen mehrere NATO-Mitglieder in ganz Europa und Nordamerika sowie in verschiedenen Ländern in Europa, Lateinamerika und Zentralasien durchgeführt.
Erkennen von Unit 29155-Angriffen
Die zunehmende Bedrohung durch APT-Kollektive verlangt von Cyberverteidigern ein ultraschnelles Reagieren, um Angriffe in Echtzeit zu erkennen und proaktive Maßnahmen gegen potenzielle Eindringlinge zu ergreifen. Um bösartigen Operationen, die von Unit 29155 (auch bekannt als Cadet Blizzard, Ember Bear, UAC-0056) orchestriert werden, vorauszubleiben, können Sicherheitsexperten die SOC Prime Plattform für kollektive Cyberverteidigung nutzen. Die Plattform kuratiert eine Sammlung spezialisierter Sigma-Regeln, die sich mit den TTPs der Angreifer befassen, und bietet fortschrittliche Bedrohungserkennungs- und Jagdlösungen, um die Bedrohungsaufklärung zu erleichtern.
Drücken Sie den Explore Detections Knopf unten und dringen Sie sofort in einen maßgeschneiderten Detektionsstack ein, der die TTPs von Unit 29155 im AA24-249A-Hinweisbeschreibt. Die Regeln sind mit über 30 SIEM-, EDR- und Data-Lake-Technologien kompatibel und mit dem MITRE ATT&CK®-Frameworkabgebildet. Zusätzlich sind die Regeln mit umfangreichen Metadaten angereichert, einschließlich Bedrohungsinformationen Verweisen, Angriffszeitleisten und Empfehlungen.
Cyber-Verteidiger, die nach weiteren Regeln suchen, um die mit Unit 29155 verbundenen TTPs zu adressieren, können im Threat Detection Marketplace mit benutzerdefinierten Tags basierend auf den Gruppenkennungen suchen: „Cadet Blizzard“, „DEV-0586“, „Ember Bear“, „Frozenvista“, „UNC2589“, „UAC-0056“, „Unit 29155“.
Da GRU Einheit 29155 dazu neigt, eine Reihe bekannter Schwachstellen für Aufklärung und ersten Zugriff auszunutzen, können Sicherheitsexperten auf spezialisierte Sammlungen von Sigma-Regeln zugreifen, die sich auf Ausnutzungsversuche von CVEs im Rampenlicht konzentrieren, indem sie die unten stehenden Links verwenden.
Sigma-Regeln zur Erkennung von CVE-2020-1472-Ausnutzungsversuchen
Sigma-Regeln zur Erkennung von CVE-2021-26084-Ausnutzungsversuchen
Sigma-Regeln zur Erkennung von CVE-2021-3156-Ausnutzungsversuchen
Sigma-Regeln zur Erkennung von CVE-2021-4034-Ausnutzungsversuchen
Sigma-Regeln zur Erkennung von CVE-2022-26138-Ausnutzungsversuchen
Sigma-Regeln zur Erkennung von CVE-2022-26134-Ausnutzungsversuchen
Zusätzlich nutzt die Gruppe hauptsächlich Standard-Red-Teaming-Techniken und weit verbreitete Werkzeuge wie Raspberry Robin und SaintBot, wobei sie häufig Taktiken mit anderen Cyberakteuren teilen. Diese Überschneidung erschwert es, ihre Aktivitäten genau zuzuordnen. Zur Erkennung von Angriffen, die im Rampenlicht stehende Werkzeuge umfassen, können Cyberverteidiger die folgenden Regel-Listen konsultieren.
Sigma-Regeln zur Erkennung von bösartigen Aktivitäten im Zusammenhang mit SaintBot
Sigma-Regeln zur Erkennung von bösartigen Aktivitäten im Zusammenhang mit Raspberry Robin
Um die Bedrohungsaufklärung zu erleichtern, können Sicherheitsexperten Uncoder AInutzen, den ersten AI-Co-Piloten der Branche für Detection Engineering, um sofort nach in der zugehörigen Beratung bereitgestellten Indikatoren für Kompromisse zu suchen. Uncoder AI fungiert als IOC-Packager, der Cyberverteidigern das einfache Interpretieren von IOCs und das Erstellen maßgeschneiderter Jagdanfragen ermöglicht. Diese Anfragen können dann nahtlos in ihre bevorzugten SIEM- oder EDR-Systeme zur sofortigen Ausführung integriert werden.
Analyse von Unit 29155-Angriffen
The AA24-249A-Hinweis herausgegeben von der US Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) am 5. September 2024 warnen Cyber-Verteidiger vor der massiven Offensivoperation, die von den russland-affiliierten Cyberakteuren orchestriert wurde, die mit dem Spezialisierten Ausbildungszentrum der GRU 161 (Einheit 29155) verbunden sind.
Der NCSC des Vereinigten Königreichs enthüllte, dass Einheit 29155 hauptsächlich aus jungen GRU-Offizieren im aktiven Dienst besteht, aber auch Nicht-GRU-Personen, einschließlich bekannter Cyberkrimineller und Unterstützer, für ihre Operationen einsetzt. Diese Gruppe operiert anders als die bekannteren, GRU-verbundenen Cyber-Einheiten, wie Einheit 26165 (Fancy Bear) und Einheit 74455 (Sandworm).
Im Januar 2022 setzten GRU-Cyberakteure den destruktiven Wiper WhisperGate bei Angriffen gegen die Ukraine ein und brachten die Online-Ressourcen der Regierung des Landes zum Erliegen. Ab dem 17. Januar 2022 erlebten bis zu 70 Websites vorübergehende Leistungsprobleme aufgrund des Einbruchs, darunter das Kabinett, sieben Ministerien, das Finanzministerium, der nationale Notdienst und die staatlichen Dienste. Zudem wurden mehrere Non-Profit-Organisationen und große ukrainische IT-Firmen Opfer des Angriffs.
Die Beratung weist weiter darauf hin, dass Einheit 29155 ihre bösartigen Operationen auf europäische Länder, Lateinamerika und Zentralasien ausgeweitet hat und häufig NATO-Mitglieder ins Visier nimmt. Ihre Cyber-Spionage-, Sabotage- und Desinformationskampagnen konzentrieren sich hauptsächlich auf die Regierungs-, Finanz-, Verkehrs-, Energie- und Gesundheitssektoren in strategisch interessanten Regionen für Moskau. Zu den Aktivitäten der Einheit 29155 gehörten Website-Defacements, Infrastrukturscannen, Datenexfiltration und Informationslecks, die darauf abzielten, kritische Systeme und Reputation zu untergraben. Laut FBI wurden über 14.000 Instanzen von Domaindurchsuchungen bei mindestens 26 NATO-Mitgliedern und mehreren weiteren EU-Ländern festgestellt.
Die Cyberakteure der Einheit 29155 wurden dabei beobachtet, IP-Bereiche verschiedener Regierungs- und kritischer Infrastruktureinrichtungen ins Visier zu nehmen. Sie haben mehrere öffentlich verfügbare Tools wie Acunetix, Nmap, VirusTotal, Shodan, DroopeScan, JoomScan genutzt, um offene Ports, Dienste und Schwachstellen in den Zielnetzwerken zu identifizieren, Subdomains zu erfassen, um Angriffe fortzuführen, Maschinen von Interesse zu entdecken usw.
Cyberakteure der Einheit 29155 führen Aufklärungsmaßnahmen in den Netzwerken der Opfer durch, um Schwachstellen in Webservern und Maschinen zu identifizieren. Sie erwerben CVE-Exploit-Skripte von GitHub, wurden jedoch hauptsächlich bei der Nutzung zu Aufklärungszwecken und nicht zur Ausnutzung beobachtet. Zu den bemerkenswerten CVEs, die sie erworben haben, gehören CVE-2020-1472, CVE-2021-3156, CVE-2022-26134, und viele andere.
Darüber hinaus verwendet die Gruppe häufige Red-Teaming-Techniken und weitverbreitete Tools wie Raspberry Robin und SaintBot für ihre bösartigen Operationen. Ihre Anwendung dieser Techniken überschneidet sich oft mit denen anderer Cyberakteure, was die genaue Zuordnung ihrer Aktivitäten erschwert.
Um die Risiken der Angriffe der Einheit 29155 zu minimieren, empfehlen Verteidiger, Patches für CVEs anzuwenden, die von der Gruppe genutzt werden, Netzwerke zu segmentieren, um die Ausbreitung bösartiger Aktivitäten zu verhindern, und die MFA-Authentifizierung für alle webexponierten Ressourcen zu aktivieren. Die SOC Prime’s Attack Detective hilft Organisationen, ihre Cybersicherheitsposition risikoorientiert zu optimieren, indem sie umfassende Bedrohungstransparenz gewinnen und die Erkennungsabdeckung verbessern, Zugang zu geräuscharmen und qualitativ hochwertigen Regeln zur Alarmierung erhalten und automatisierte Bedrohungsjagd ermöglichen.
