Detecção de Ataques da Unidade 29155: Divisão de Inteligência Militar Afiliada à Rússia Alveja Infraestruturas Críticas Globalmente
Índice:
Notórios grupos de hackers afiliados à Rússia estão colocando desafios assustadores para as forças defensivas, continuamente atualizando suas TTPs adversárias e aprimorando técnicas de evasão de detecção. Após o início da guerra total na Ucrânia, coletivos APT apoiados pela Rússia estão especialmente ativos enquanto usam o conflito como um campo de teste para novas abordagens maliciosas. Além disso, métodos comprovados são usados contra alvos importantes de interesse para o governo de Moscou em todo o mundo. Por exemplo, em outubro de 2023, o APT28 russo hackeou os setores público e privado na França, usando as mesmas vulnerabilidades e TTPs que na Ucrânia durante 2022-2023.
O aviso conjunto mais recente da CISA, NSA e FBI mais uma vez alerta os defensores cibernéticos sobre a crescente ameaça representada por atores afiliados à Rússia. Especificamente, a unidade de inteligência militar vinculada à Direção Principal de Inteligência do Estado-Maior russo (GRU) e rastreada como Unidade 29155 é responsável por uma operação ofensiva de longa duração contra setores de infraestrutura crítica nos EUA e no mundo. As operações começaram em janeiro de 2022, quando atores cibernéticos implantaram o destrutivo malware WhisperGate contra múltiplas organizações na Ucrânia. Junto com operações como WhisperGate e outros ataques cibernéticos visando a Ucrânia, atores cibernéticos realizaram operações de rede contra vários membros da OTAN na Europa e América do Norte, bem como em vários países na Europa, América Latina e Ásia Central.
Detectar Ataques da Unidade 29155
A crescente ameaça representada por coletivos APT exige ultra-responsividade dos defensores cibernéticos para detectar ataques em tempo real e tomar ações proativas contra potenciais intrusões. Para se antecipar às operações maliciosas orquestradas pela Unidade 29155 (também conhecida como Cadet Blizzard, Ember Bear, UAC-0056), os profissionais de segurança podem aproveitar a Plataforma SOC Prime para defesa cibernética coletiva. A plataforma seleciona uma coleção de regras Sigma dedicadas abordando as TTPs dos atacantes combinadas com soluções avançadas de detecção de ameaças e caça para suavizar a investigação de ameaças.
Pressione o Explore Detections botão abaixo e aprofunde-se imediatamente em um conjunto de detecção personalizado abordando as TTPs da Unidade 29155 descritas no aviso AA24-249A. As regras são compatíveis com mais de 30 tecnologias SIEM, EDR e Data Lake e mapeadas para o MITRE ATT&CK® framework. Além disso, as regras são enriquecidas com metadados extensivos, incluindo intel de ameaças referências, cronogramas de ataques e recomendações.
Defensores cibernéticos que procuram mais regras para abordar TTPs vinculadas à Unidade 29155 podem procurar Threat Detection Marketplace usando tags personalizadas com base nos identificadores do grupo: “Cadet Blizzard,” “DEV-0586,” “Ember Bear,” “Frozenvista,” “UNC2589,” “UAC-0056,” “Unit 29155.”
Como a Unidade 29155 do GRU tende a explorar um conjunto de vulnerabilidades conhecidas para reconhecimento e acesso inicial, os profissionais de segurança podem acessar coleções dedicadas de regras Sigma abordando tentativas de exploração para CVEs em destaque usando os links abaixo.
Regras Sigma para Detectar Tentativas de Exploração do CVE-2020-1472
Regras Sigma para Detectar Tentativas de Exploração do CVE-2021-26084
Regras Sigma para Detectar Tentativas de Exploração do CVE-2021-3156
Regras Sigma para Detectar Tentativas de Exploração do CVE-2021-4034
Regras Sigma para Detectar Tentativas de Exploração do CVE-2022-26138
Regras Sigma para Detectar Tentativas de Exploração do CVE-2022-26134
Além disso, o grupo utiliza principalmente técnicas padrão de red-teaming e ferramentas amplamente disponíveis, como Raspberry Robin e SaintBot, frequentemente compartilhando táticas com outros atores cibernéticos. Essa sobreposição complica os esforços para atribuir suas atividades com precisão. Para detectar ataques envolvendo ferramentas em destaque os defensores cibernéticos podem se referir às listas de regras abaixo.
Regras Sigma Detectando Atividade Maliciosa Associada ao SaintBot
Regras Sigma Detectando Atividade Maliciosa Associada ao Raspberry Robin
Para agilizar a investigação de ameaças, os profissionais de segurança podem usar Uncoder AI, o primeiro co-piloto de IA da indústria para Engenharia de Detecção, para caçar instantaneamente indicadores de comprometimento fornecidos no aviso relacionado. Uncoder AI atua como um empacotador de IOCs, permitindo que defensores cibernéticos interpretem IOCs sem esforço e gerem consultas de caça personalizadas. Essas consultas podem então ser integradas perfeitamente em seus sistemas SIEM ou EDR preferidos para execução imediata.
Análise de Ataques da Unidade 29155
The aviso AA24-249A emitido pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), Agência de Segurança Nacional (NSA) e Federal Bureau of Investigation (FBI) em 5 de setembro de 2024 alertam defensores cibernéticos sobre a operação ofensiva massiva orquestrada por atores cibernéticos afiliados à Rússia ligados ao Centro de Treinamento Especialista 161 do GRU (Unidade 29155).
O NCSC do Reino Unido revelou que a Unidade 29155 consiste principalmente de oficiais juniores do GRU em serviço ativo, mas também recruta indivíduos não-GRU, incluindo cibercriminosos conhecidos e facilitadores, para realizar suas operações. Este grupo opera de forma diferente das unidades cibernéticas mais proeminentes vinculadas ao GRU, como a Unidade 26165 (Fancy Bear) e Unidade 74455 (Sandworm).
Em janeiro de 2022, atores cibernéticos do GRU implantaram o destrutivo limpador WhisperGate em ataques contra a Ucrânia, derrubando os ativos online do governo do país. Em 17 de janeiro de 2022, até 70 sites experimentaram problemas de desempenho temporários devido à intrusão, incluindo o Gabinete, sete ministérios, o Tesouro, o Serviço Nacional de Emergência e os serviços estatais. Além disso, várias organizações sem fins lucrativos e grandes empresas de TI ucranianas foram vítimas do ataque.
O aviso observa ainda que a Unidade 29155 expandiu suas operações maliciosas para países europeus, América Latina e Ásia Central, frequentemente visando membros da OTAN. Suas campanhas de espionagem cibernética, sabotagem e desinformação concentraram-se principalmente nos setores de governo, finanças, transporte, energia e saúde em regiões de interesse estratégico para Moscou. As atividades da Unidade 29155 incluíram desfigurações de sites, varredura de infraestrutura, exfiltração de dados e vazamentos de informações destinados a minar sistemas críticos e reputações. De acordo com o FBI, mais de 14.000 instâncias de varredura de domínio foram detectadas em pelo menos 26 membros da OTAN e vários países adicionais da UE.
Os atores cibernéticos da Unidade 29155 foram identificados visando faixas de IP associadas a várias organizações governamentais e de infraestrutura crítica. Eles empregaram várias ferramentas disponíveis publicamente, como Acunetix, Nmap, VirusTotal, Shodan, DroopeScan, JoomScan para identificar portas abertas, serviços e vulnerabilidades em redes-alvo, obter subdomínios para prosseguir com ataques, descobrir máquinas de interesse, etc.
Os atores cibernéticos da Unidade 29155 realizam reconhecimento nas redes das vítimas para identificar vulnerabilidades em servidores web e máquinas. Eles adquirem scripts de exploração de CVE do GitHub, mas foram observados usando-os principalmente para reconhecimento, em vez de exploração. CVEs notáveis que eles adquiriram incluem CVE-2020-1472, CVE-2021-3156, CVE-2022-26134, e muitos outros.
Além disso, o grupo emprega técnicas comuns de red-teaming e ferramentas amplamente acessíveis como Raspberry Robin e SaintBot para prosseguir com suas operações maliciosas. Seu uso dessas técnicas muitas vezes se sobrepõe ao de outros atores cibernéticos, tornando desafiador atribuir suas atividades com precisão.
Para minimizar os riscos dos ataques da Unidade 29155, os defensores recomendam aplicar patches para CVEs armados pelo grupo, segmentar redes para prevenir a propagação de atividades maliciosas e habilitar autenticação MFA para todos os ativos voltados para a web. O Attack Detective da SOC Prime ajuda as organizações a otimizar o risco de sua postura de segurança cibernética, obtendo visibilidade abrangente de ameaças e melhorando a cobertura de detecção, obtendo acesso a regras de alta qualidade e baixo ruído para alertas e permitindo a caça automatizada de ameaças.
