Rilevazione degli attacchi dell’Unità 29155: la divisione dell’intelligence militare affiliata alla Russia prende di mira infrastrutture critiche a livello globale
Indice:
I famigerati gruppi di hacking affiliati alla Russia stanno ponendo sfide formidabili alle forze difensive, aggiornando continuamente i loro TTP avversari e migliorando le tecniche di elusione della rilevazione. Dopo lo scoppio della guerra a pieno regime in Ucraina, i collettivi APT sostenuti dalla Russia sono particolarmente attivi mentre usano il conflitto come campo di prova per nuovi approcci dannosi. Inoltre, metodi collaudati vengono sfruttati contro importanti obiettivi di interesse per il governo di Mosca in tutto il mondo. Ad esempio, nell’ottobre 2023, APT28 russo ha hackerato i settori pubblico e privato in Francia, utilizzando le stesse vulnerabilità e TTP come in Ucraina durante il 2022-2023.
Il più recente avviso congiunto di CISA, NSA e FBI avverte nuovamente i difensori informatici della crescente minaccia posta dagli attori affiliati alla Russia. In particolare, l’unità di intelligence militare collegata alla Direzione Generale dell’Intelligence dello Stato Maggiore russo (GRU) e tracciata come Unità 29155 è responsabile di un’operazione offensiva di lunga durata contro i settori delle infrastrutture critiche negli Stati Uniti e nel mondo. Le operazioni sono iniziate a partire da gennaio 2022 quando attori cyber hanno distribuito il malware distruttivo WhisperGate contro più organizzazioni in Ucraina. Insieme a operazioni come WhisperGate e altri attacchi informatici mirati sull’Ucraina, attori cyber hanno condotto operazioni di rete contro più membri della NATO in Europa e Nord America, così come in vari paesi in tutta Europa, America Latina e Asia centrale.
Rileva Attacchi dell’Unità 29155
La crescente minaccia posta dai collettivi APT richiede una ultra reattività da parte dei difensori informatici per rilevare attacchi in tempo reale e prendere azioni proattive contro potenziali intrusioni. Per stare al passo con le operazioni dannose orchestrate dall’Unità 29155 (anche conosciuta come Cadet Blizzard, Ember Bear, UAC-0056), i professionisti della sicurezza possono sfruttare la Piattaforma SOC Prime per la difesa informatica collettiva. La piattaforma cura una collezione di regole Sigma dedicate che affrontano i TTP degli attaccanti abbinate a soluzioni avanzate di rilevamento delle minacce e caccia per facilitare l’indagine sulle minacce.
Premi il Esplora le Rilevazioni pulsante qui sotto e approfondisci immediatamente una pila di rilevamento su misura che affronta i TTP dell’Unità 29155 descritti nell’ avviso AA24-249A. Le regole sono compatibili con oltre 30 tecnologie SIEM, EDR e Data Lake e sono mappate al framework MITRE ATT&CK®. Inoltre, le regole sono arricchite con ampi metadata, inclusi intel di minacce riferimenti, linee temporali degli attacchi e raccomandazioni.
I difensori informatici che cercano più regole per affrontare i TTP collegati all’Unità 29155 possono cercare nel Threat Detection Marketplace utilizzando tag personalizzati basati sugli identificatori del gruppo: “Cadet Blizzard,” “DEV-0586,” “Ember Bear,” “Frozenvista,” “UNC2589,” “UAC-0056,” “Unit 29155.”
Poiché l’Unità 29155 del GRU tende a sfruttare un insieme di vulnerabilità note per il riconoscimento e l’accesso iniziale, i professionisti della sicurezza possono accedere a collezioni dedicate di regole Sigma che affrontano i tentativi di sfruttamento di CVE in primo piano utilizzando i link sottostanti.
Regole Sigma per Rilevare Tentativi di Sfruttamento CVE-2020-1472
Regole Sigma per Rilevare Tentativi di Sfruttamento CVE-2021-26084
Regole Sigma per Rilevare Tentativi di Sfruttamento CVE-2021-3156
Regole Sigma per Rilevare Tentativi di Sfruttamento CVE-2021-4034
Regole Sigma per Rilevare Tentativi di Sfruttamento CVE-2022-26138
Regole Sigma per Rilevare Tentativi di Sfruttamento CVE-2022-26134
Inoltre, il gruppo utilizza principalmente tecniche standard di red-teaming e strumenti ampiamente disponibili come Raspberry Robin e SaintBot, condividendo frequentemente tattiche con altri attori informatici. Questa sovrapposizione complica gli sforzi per attribuirne con precisione le attività. Per rilevare attacchi che coinvolgono strumenti in primo piano, i difensori informatici possono fare riferimento alle liste di regole sottostanti.
Regole Sigma Rilevanti Attività Maligna Associata a SaintBot
Regole Sigma Rilevanti Attività Maligna Associata a Raspberry Robin
Per semplificare l’indagine sulle minacce, i professionisti della sicurezza potrebbero utilizzare Uncoder AI, il primo co-pilota AI per Detection Engineering, per cacciare istantaneamente indicatori di compromissione forniti nell’avviso correlato. Uncoder AI agisce come un imballatore IOC, consentendo ai difensori informatici di interpretare facilmente gli IOC e generare query di caccia su misura. Queste query possono quindi essere integrate senza problemi nei loro sistemi SIEM o EDR preferiti per l’esecuzione immediata.
Analisi degli Attacchi dell’Unità 29155
The avviso AA24-249A emesso dall’Agenzia di Sicurezza Informatica e delle Infrastrutture (CISA) degli Stati Uniti, Agenzia di Sicurezza Nazionale (NSA) e Federal Bureau of Investigation (FBI) il 5 settembre 2024 avvisa i difensori informatici della massiccia operazione offensiva orchestrata dagli attori informatici affiliati alla Russia legati al GRU 161st Specialist Training Center (Unità 29155).
Il NCSC del Regno Unito ha rivelato che l’Unità 29155 è composta principalmente da giovani ufficiali GRU in servizio attivo, ma coinvolge anche individui non appartenenti al GRU, inclusi noti cybercriminali e facilitatori, per portare avanti le sue operazioni. Questo gruppo opera in modo diverso rispetto alle unità informatiche GRU più note, come l’Unità 26165 (Fancy Bear) e l’Unità 74455 (Sandworm).
A gennaio 2022, gli attori informatici del GRU hanno distribuito il wipe destruttivo WhisperGate in attacchi contro l’Ucraina, abbattendo le risorse online del governo del paese. A partire dal 17 gennaio 2022, fino a 70 siti web hanno sperimentato problemi di prestazioni temporanee a causa dell’intrusione, inclusi il Gabinetto, sette ministeri, il Tesoro, il Servizio d’Emergenza Nazionale e i servizi statali. Inoltre, molte organizzazioni no-profit e importanti aziende IT ucraine sono cadute vittime dell’attacco.
L’avviso rileva inoltre che l’Unità 29155 ha espanso le sue operazioni maligne nei paesi europei, in America Latina e in Asia centrale, prendendo spesso di mira i membri della NATO. Le loro campagne di spionaggio informatico, sabotaggio e disinformazione erano focalizzate principalmente su governo, finanza, trasporti, energia e settori sanitari nelle regioni di interesse strategico per Mosca. Le attività dell’Unità 29155 includevano deturpazione di siti web, scansione di infrastrutture, esfiltrazione di dati e fughe di informazioni volte a minare sistemi critici e reputazioni. Secondo l’FBI, sono stati rilevati oltre 14.000 istanze di scansione del dominio in almeno 26 paesi membri della NATO e diversi altri paesi dell’UE.
Gli attori informatici dell’Unità 29155 sono stati identificati nel prendere di mira gamme di indirizzi IP associate a varie organizzazioni governative e infrastrutture critiche. Hanno impiegato numerosi strumenti disponibili pubblicamente come Acunetix, Nmap, VirusTotal, Shodan, DroopeScan, JoomScan per identificare porte aperte, servizi e vulnerabilità nelle reti mirate, ottenere sottodomini per procedere con gli attacchi, scoprire macchine di interesse, ecc.
Gli attori informatici dell’Unità 29155 conducono ricognizioni sulle reti delle vittime per identificare vulnerabilità nei server web e nelle macchine. Acquisiscono script di exploit CVE da GitHub ma sono stati osservati nell’usarli principalmente per la ricognizione piuttosto che per lo sfruttamento. CVE degne di nota che hanno acquisito includono CVE-2020-1472, CVE-2021-3156, CVE-2022-26134, e molte altre.
Inoltre, il gruppo impiega tecniche comuni di red-teaming e strumenti ampiamente accessibili come Raspberry Robin e SaintBot per procedere con le loro operazioni maligne. L’uso di queste tecniche spesso si sovrappone a quelle di altri attori informatici, rendendo difficile attribuire con precisione le loro attività.
Per minimizzare i rischi degli attacchi dell’Unità 29155, i difensori raccomandano di applicare patch per i CVE sfruttati dal gruppo, segmentare le reti per prevenire la diffusione di attività dannose e abilitare l’autenticazione MFA per tutti i beni che si interfacciano con il web. Attack Detective di SOC Prime aiuta le organizzazioni a ottimizzare il rischio della loro postura di sicurezza informatica ottenendo una visibilità completa delle minacce e migliorando la copertura di rilevamento, ottenendo accesso a regole di alta qualità e basso rumore per l’allarme, e abilitando la caccia alle minacce automatizzata.
