Anne Neuberger, stellvertretende nationale Sicherheitsberaterin für Cybersicherheit, räumte ein, dass „es derzeit keine spezifischen glaubwürdigen Bedrohungen für die Vereinigten Staaten gibt“, fuhr sie jedoch fort: „Wir arbeiten mit dem Privatsektor zusammen, teilen und teilen spezifische Informationen und fordern Maßnahmen zur Reduzierung der Cybersicherheitsrisiken ihrer Organisation und geben sehr konkrete Ratschläge, wie man dies tun kann.“ Diese Worte wurden am 2. Februar während eines Medienbriefings geäußert. Neuberger sprach von der anhaltenden Präsenz russischer Cyber-Bedrohungen für die Ukraine und darüber hinaus. Neuberger war sich klar: „Wir warnen seit Wochen und Monaten sowohl privat als auch öffentlich davor, dass Cyberangriffe Teil der weitreichenden Bemühungen Russlands sein könnten, die Ukraine zu destabilisieren und einzumarschieren. Die Russen haben den Cyberspace als zentrales Machtelement genutzt Prognose über das letzte Jahrzehnt, einschließlich zuvor In der Ukraine, im Zeitrahmen 2015.

Etwa zur gleichen Zeit veröffentlichten Bedrohungsanalysten der Einheit 42 der Palo Alto Networks Informationen über die Erkennung von Angriffen durch „Gamaredon“ (auch bekannt als Armageddon, Primitive Bear, Shuckworm und Actinium) auf eine westliche Regierungsbehörde (noch nicht identifiziert). in der Ukraine. Übrigens: Gamaredon wurde im November 2021 vom ukrainischen Sicherheitsdienst (SSU) unter der Leitung von fünf russischen Beamten des Föderalen Sicherheitsdienstes (FSB) identifiziert, die unter der Schirmherrschaft des Informationssicherheitszentrums FSB von Büros auf der von Russland besetzten Krim aus arbeiten.

Überprüfen Sie auch:

Im November hob die SSU 5.000 Angriffe von Gamaredon hervor für:

• Steuerung kritischer Infrastruktureinrichtungen (Kraftwerke, Heizungs- und Wassersysteme).

• Datenerfassung, einschließlich Diebstahl und Sammeln von Informationen, einschließlich eingeschränktem Zugang zu Informationen (im Zusammenhang mit dem Sicherheits- und Verteidigungssektor und Regierungsbehörden).

• Erzielung einer medialen und psychologischen Wirkung.

• Zurückhaltung von Informationssystemen.

Der SSU Technical Report on Gamaredon Attacks beschreibt die Zusammensetzung der Gruppe sowie ihren Weg von der Unklarheit zu einer echten Bedrohung für die nationale Infrastruktur und einer glaubwürdigen Bedrohung bei Cyber-Intelligence-Angriffsaktivitäten.

Der Bericht von Unit 42 hebt die Bemühungen der Gamaredon-Gruppe hervor, die außergewöhnlichen individuellen Bedürfnisse der Ukraine durch die westliche Regierungseinheit zu nutzen. Die Gruppe schickte den Lebenslauf des Kandidaten im Word-Format. Jamaridon setzt darauf, dass der vom „Kandidaten“ hochgeladene Lebenslauf nicht denselben Kontrollen unterliegt wie Phishing-E-Mails, die von Gruppen empfangen werden. Der Bericht bezieht sich auch auf den Bericht des estnischen CERT-Teams vom 27. Januar 2021 über Gamaredon, aus dem hervorgeht, dass die Gamaredon-Gruppe ab 2020 Länder der Europäischen Union mit Spear-Phishing-Techniken angegriffen hat (dies ist eine Cyber-Angriffsmethode, die von Hackern verwendet wird, um vertrauliche Informationen zu stehlen oder Malware auf Geräten bestimmter Opfer installieren).

In der Zwischenzeit veröffentlichte das Threat Hunter-Team von Symantec am 31. Januar 2022 eine eigene Studie, in der es heißt, dass Shuckworm auf „Cyberspionage“ spezialisiert ist, was mit der Entdeckung von SSU im November 2021 übereinstimmt. Der Bericht des Threat Hunter-Teams enthält eine interessante Fallstudie der Serie Angriff auf Gamaredon, der mit einem bösartigen Dokument begann. Der Zeitrahmen der Fallstudie umfasst den Zeitraum vom 14. Juli bis 18. August 2021.

Kurz darauf, am 4. Februar, tauschten das Microsoft Threat Intelligence Center und die Digital Security Unit Informationen über die Bedrohung aus, die von der ACTINIUM-Gruppe ausgeht, die seit zehn Jahren auf die Ukraine abzielt. Der Bericht betont, dass das Ziel dieser Gruppe die Regierung, das Militär, Nichtregierungsorganisationen, die Justiz, die Strafverfolgungsbehörden und gemeinnützige Organisationen sind. Die Feststellungen von Microsoft spiegeln die anderer Analysten wider, dass sich die Bemühungen der Gruppe darauf konzentrieren, Insiderinformationen einzuholen und Fuß zu fassen, um einen nachhaltigen Zugang zu erhalten.

Neuberger kam zu dem Schluss, dass die Vereinigten Staaten mit der Europäischen Union und der NATO zusammenarbeiten, um „die nationale und verbündete Resilienz im Cyberspace zu erhöhen“. Sie betonte, dass die US-Bemühungen darauf abzielen, Notfallpläne für den Cyberspace bereitzustellen, um „die Ukraine und einander im Falle solcher Vorfälle zu koordinieren und zu unterstützen … Cybersecurity-Risiken.“ für ihre Organisation und indem sie sehr konkrete Ratschläge geben, wie dies zu tun ist.

Angesichts des oben Gesagten und angesichts der zunehmenden Spannungen in der Ukraine haben die Cybersicherheitsbehörden der Vereinigten Staaten, Australiens und des Vereinigten Königreichs am 9. Februar eine gemeinsame Empfehlung zur wachsenden globalen Bedrohung durch Ransomware herausgegeben (Alert (AA22-040A)). Die Warnung hebt die beobachtete Zunahme von Ransomware-Vorfällen in 14 der 16 kritischen Infrastruktursektoren in den Vereinigten Staaten hervor.

David Klein, Cyber-Evangelist von Cymulate, kommentierte: „Der CISO sollte diese Warnung von verschiedenen Cyber-Kommandos berücksichtigen, da er anerkennt, dass die offensive und zerstörerische Aktivität der Vereinigten Staaten gegen Ransomware-Kriminelle einige kriminelle Organisationen veranlasst hat, die Aufmerksamkeit von den Zielen abzulenken des „Spiels“ Und sie gingen zu leichteren mittelgroßen Zielen über. Im gegenwärtigen Klima ist Größe eindeutig nicht spezifisch dafür, ein Ziel zu sein.

Über den Autor

Christopher Burgess arbeitet seit über 30 Jahren für die Central Intelligence Agency (CIA). Co-Autor von Stolen Secrets, Lost Fortune, Preventing Intellectual Property Theft and Economic Spionage in the Twenty-first Century.

Quelle: CSO