BadPilot: a Sandworm alcsoportjának globális kiberkampánya
A Microsoft közzétett egy jelentést a Seashell Blizzard (más néven Sandworm, APT44, UAC-0133, PHANTOM) orosz állami kiberszereplőn belüli alcsoportról és annak többéves kezdeti hozzáférési (initial access) műveletéről, amit a Microsoft Threat Intelligence BadPilot kampánynak nevezett el. Ez az alcsoport különböző Internet felől elérhető infrastruktúra kompromittálását hajtotta végre globálisan.
A Seashell Blizzard az Oroszországi Föderációhoz köthető, jelentős kiberszereplő, amely az orosz Felderítő Főcsoportfőnökség (katonai hírszerzés), a GRU 74455 egysége nevében végez globális kibertevékenységeket. A Seashell Blizzard kiberműveletei a kémkedéstől az információs műveletekig és a kibertéren keresztüli bomlasztó műveletekig terjednek, általában destruktív támadások és az ipari vezérlőrendszerek (ICS) manipulálása útján. A legalább 2013 óta aktív kiberszereplő korábbi műveletei közé tartozik a KillDisk (2015), a FoxBlade (2022), vagy a NotPetya (2017) és a Prestige (2022). A Microsoft értékelése szerint a Seashell Blizzard olyan szakértelemmel rendelkezik, amely lehetővé teszi a széles körű és tartós hozzáférés megszerzését a kiemelt informatikai hálózatokban.
A Microsoft elemzése szerint a Seashell Blizzard műveleteit gyakran alkalmazták katonai konfliktusok és geopolitikai események részeként a csoport exploitálási képességei, valamint az ipari vezérlőrendszerekkel (ICS) és a SCADA rendszerekkel kapcsolatos szakértelmüknek miatt. A kutatók a Seashell Blizzard egyes műveleteit az Oroszországi Föderáció megtorló intézkedéseinek részeként kezelik, mivel Oroszország 2022-es ukrajnai inváziója óta a Seashell Blizzard folyamatosan hajtotta végre orosz katonai célokat kiegészítő kiberműveleteket. A csoport stratégiai célpontjai olyan kritikus infrastruktúrák, mint az energia- és vízellátás, a kormányzati, katonai, szállítási és logisztikai, gyártási, távközlési és egyéb támogató infrastruktúrák.
A Microsoft értékelése szerint a vizsgált “initial access” alcsoport a Seashell Blizzardhoz kapcsolódik. A jelentés szerint azért különíthető el a vizsgált alcsoport, mert következetesen jól megkülönböztethető exploitokat, eszközöket, infrastruktúrát és a perzisztencia kialakítását elősegítő módszereket használ. A Microsoft emellett a műszaki vizsgálatai során átfedéseket azonosított a Seashell Blizzard által használt speciális operatív képességekkel és erőforrásokkal a post-compromise tevékenységek vonatkozásában.
Az alcsoport 2022-ben elsődlegesen Ukrajnára összpontosított, különösen az energia-, a kiskereskedelmi, az oktatási, a tanácsadói és a mezőgazdasági ágazatot célozta meg. 2023-ban globalizálta tevékenységének hatókörét, ami már kiterjedt az Egyesült Államokra, Európára (köztük Magyarországra is), Közép-Ázsiára és a Közel-Keletre is. Gyakran olyan ágazatokat érintett a csoport kibertevékenysége, amelyek anyagi támogatást nyújtottak az ukrajnai háborúhoz vagy geopolitikai szempontból jelentősek voltak. 2024-ben a csoport főleg az Egyesült Államokra, Kanadára, Ausztráliára és az Egyesült Királyságra összpontosított.
Az alcsoport eddig legalább nyolc olyan sérülékenységet használt ki, amelyek jellemzően SOHO és vállalati hálózatokban használt eszközöket érintenek: Microsoft Exchange (CVE-2021-34473), Zimbra Collaboration (CVE-2022-41352), OpenFire (CVE-2023-32315), JetBrains TeamCity (CVE-2023-42793), Microsoft Outlook (CVE-2023-23397), Connectwise ScreenConnect (CVE-2024-1709), Fortinet FortiClient EMS (CVE-2023-48788), JBOSS (pontos CVE nem ismert).
2024 elején az alcsoport RMM csomagokat kezdett el használni, ami a perzisztencia és a C2 elérésére használt újszerű technika volt. Ezt először akkor figyelték meg, amikor az alcsoport kihasználta a ConnectWise ScreenConnect (CVE-2024-1709) és a Fortinet FortiClient EMS (CVE-2023-48788) sérülékenységeit. Az alcsoport ezután olyan RMM-szoftvereket telepített, mint az Atera Agent és a Splashtop Remote Services. Az RMM szoftverek használata lehetővé tette a kiberszereplő számára, hogy a kritikus C2 funkciókat megtartsa, miközben legitim segédprogramnak álcázta magát, ami megnehezítette az azonosítást. Ezeket a TTP-ket 2022 óta más államilag támogatott kiberszereplők is használják, például az iráni Mango Sandstorm is, a Seashell Blizzard technikái mégis sajátosak.
A további részleteket ismerteti a Microsoft blogbejegyzése.
