APT 28 Richt zich op NAVO-lidstaten + kritieke infrastructuur

Deze campagnes zijn uitgevoerd door Fighting Ursa (ook bekend als APT28, Fancy Bear, Strontium/Forest Blizzard, Pawn Storm, Sofacy of Sednit). Dit is een groep die verbonden is met de militaire inlichtingendienst van Rusland. Ze staan bekend om hun focus op doelen van Russisch belang - vooral doelen van militair belang.

Begin dit jaar ontdekten Oekraïense cyberbeveiligingsonderzoekers dat Fighting Ursa gebruikmaakt van een zero-day exploit in Microsoft Outlook (nu bekend als CVE-2023-23397). Deze kwetsbaarheid is vooral zorgwekkend omdat er geen gebruikersinteractie nodig is om er misbruik van te maken.
Het onderzoek toont aan dat alle veertien landen die het doelwit werden van de drie campagnes, organisaties waren binnen NAVO-lidstaten. Met uitzondering van entiteiten in Oekraïne, Jordanie en de Verenigde Arabische Emiraten. Het nieuwe Unit 42 onderzoek benadrukt dat deze organisaties kritieke infrastructuur en entiteiten omvatten die een informatievoordeel bieden in diplomatieke, economische en militaire zaken.

Tot de doelorganisaties behoorden organisaties gerelateerd aan:

• Energieproductie en -distributie
• Exploitatie van pijpleidingen
• Materieel, personeel en luchttransport
• Ministeries van Defensie
• Ministeries van Buitenlandse Zaken
• Ministeries van Binnenlandse Zaken
• Ministeries van Economische Zaken

Unit 42 publiceert dit onderzoek om te laten zien dat Fighting Ursa de eerder genoemde kwetsbaarheid in meerdere campagnes gebruikt. Ondanks dat hun tactieken bekend zijn gemaakt door onderzoeken in de beveiligingssbranche waarin deze activiteit is gedocumenteerd. Organisaties en landen met een hoog risico die Microsoft Outlook gebruiken, moeten CVE-2023-23397 onmiddelijk patchen en zorgen voor de juiste configuratie om zich tegen toekomstige aanvallen te verdedigen.

Het volledige blog kun je hier vinden.