TAG-70 kampány európai kormányzati szervezetek ellen

Geronimo February 19, 2024April 23, 2024 APT28, BlueDelta, Fehéroroszország, Grúzia, Közigazgatás, Lengyelország, Oroszország, Sandworm, TA473, TAG-70, UAC-0114, Ukrajna, Winter Vivern

A Recorded Future Insikt csoportja azonosította a TAG-70 nevű, valószínűleg Fehéroroszország és Oroszország érdekében működő fenyegető szereplőt, amely legalább 2020 decembere óta végez kiberkémkedést európai és közép-ázsiai kormányzati, katonai és nemzeti infrastrukturális célpontok ellen. A Winter Vivern néven is ismert csoport októberben fedezte fel a Roundcube webmail-kiszolgálókban található XSS (cross-site scripting) sebezhetőségek kihasználását Európa-szerte – és most az áldozatokra is fény derül.

Legutóbbi kampányában, amely 2023 októbere és decembere között zajlott, a TAG-70 (más fenyegetéselemzők TA473, vagy UAC-0114 néven azonosítják) a Roundcube webmail-kiszolgálókban található keresztoldali szkriptelés (XSS) sebezhetőségeket használta ki több mint 80, elsősorban grúziai, lengyelországi és ukrajnai szervezet ellen irányuló támadás során. Ez a tevékenység emlékeztet más, oroszbarát fenyegetőcsoportokra, például a BlueDelta (APT28) és a Sandwormra, amelyek korábbi kampányaikban e-mail megoldásokat, köztük a Roundcube-ot is célba vették.

A veszélyeztetett e-mail szerverek jelentős kockázatot jelentenek, különösen az Ukrajnában zajló konfliktus összefüggésében. Kényes információkat hozhatnak nyilvánosságra Ukrajna háborús erőfeszítéseiről, diplomáciai kapcsolatairól és koalíciós partnereiről. Az oroszországi és hollandiai iráni nagykövetségek célba vétele továbbá arra utal, hogy szélesebb körű geopolitikai érdek fűződik Irán diplomáciai tevékenységének értékeléséhez, különösen az Oroszországnak Ukrajnában nyújtott támogatását illetően. Hasonlóképpen, a grúz kormányzati szervek elleni kémkedés azt tükrözi, hogy Grúzia európai uniós és NATO-csatlakozási törekvéseinek nyomon követése érdeke.

A TAG-70 kampánya által jelentett kockázat csökkentése érdekében a szervezeteknek biztosítaniuk kell, hogy a Roundcube telepítéseik javítva és naprakészek legyenek, miközben aktívan vadásznak a környezetükben a kompromittálódásra utaló jelekre (IoC). A TAG-70 támadási módszereinek kifinomultsága és a kormányzati és katonai szervezetek célba vétele kiemeli a robusztus kiberbiztonsági intézkedések és a proaktív fenyegetés-felderítési erőfeszítések szükségességét. A TAG-70 tevékenységének széles körű elterjedtsége és a nemzetbiztonságra gyakorolt lehetséges hatása rávilágít az érintett szervezetek és kormányzati szervek éberségének és felkészültségének sürgősségére.

FORRÁS