Prorussiske hackere udnytter særlig sårbarhed i Microsofts Outlook og går specifikt efter NATO-klande.
Over de seneste 20 måneder er over 30 organisationer ramt i 14 lande.
Den seneste Unit 42 rapport fra IT-sikkerhedsvirksomheden Palo Alto Networks viser, at den kendte hackergruppe Fighting Ursa, også kendt som Fancy Bear, bevidst udnytter fejl i Outlook, til systematisk at ramme myndigheder, forsvar og vigtige infrastrukturer i de pågældende NATO-lande.
Angrebene er særligt bekymrende, da de ikke kræver, at der er en aktiv brugerinteraktion. Udnyttelsen af sårbarheden ved navn CVE-2023-23397 sker automatisk, når Outlook behandler en besked og kræver ikke, at brugerne for eksempel åbner en vedhæftet fil eller klikker på et link. Forskere fra Palo Alto Networks Unit 42-researchgruppe har kunnet observere, at hackergruppen har udnyttet fejlene i systemet i mere end 20 måneder til målrettet at angribe intet mindre end 30 organisationer i 14 lande. Yderligere fandt forskerne, at gruppen i høj grad var interesserede i diplomatiske, økonomiske og militære anliggender, der var relateret til blandt andet:
Energiproduktion og -distribution- Drift af gasledninger
- Materiel-, personale- og lufttransport
- Forsvarsministerier
- Udenrigsministerier
- Ministerier for indre anliggender
- Ministerier for økonomi
Målrettet indsats – uden bekymring for afsløring
Unit 42 har undersøgt mere end 50 observerede eksempler i, hvordan Fighting Ursa/Fancy Bear rettede sig mod ofre med CVE-2023-23397.Oplysningerne gav researchgruppen et indblik i hvordan de russiske militære prioriterer i en tid med international konflikt. Zero-day exploits er i sagens natur værdifulde varer, og hackergrupperne bruger kun exploits, når belønningen forbundet med angrebet og de opnåede efterretninger opvejer risikoen for offentlig opdagelse.
Rapporten fortæller desuden, at det at bruge zero-day exploit mod et mål indikerer, at det har en betydelig værdi for hackergruppen. Fighting Ursa fortsatte med at benytte den offentligt kendte sikkerhedsbrist i både anden og tredje angreb, som allerede var tilskrevet dem, uden at ændre deres taktik. Det tyder på, at de informationer, som angrebene genererede, opvejede konsekvenserne af en eventuel offentlig afsløring.
Rapporten giver en detaljeret forståelse af en APT’s målprioriteter, og det er sjældent at få indsigt i, især for en APT som Fighting Ursa/Fancy Bear, hvis formål er at udføre angreb på vegne af Ruslands militær.
Endeligt indeholder rapporten også konkrete råd til, hvordan organisationer, regeringer og udbydere af kritisk infrastruktur på tværs af NATO og europæiske lande kan beskytte sig mod fremtidige angreb ved at tage følgende skridt:
- Vær opmærksom på ovenstående taktikker
- Opdater Microsoft Outlook for at lukke ovenstående sårbarhed i jeres systemer
- Konfigurer endpoint-beskyttelse til at undgå trusler og angreb
