Rusland richt zich op op Westerse logistiek en technologie bedrijven

De campagne wordt uitgevoerd door de 85e Hoofd Speciale Dienst Centrum (85e GTSSS), militaire eenheid 26165 van de GRU, ook bekend onder namen als APT28 en Fancy Bear. 

De cyberaanvallen zijn gericht op spionage en maken gebruik van een mix van eerder bekendgemaakte tactieken, technieken en procedures (TTP's). Deze omvatten onder andere het hergebruik van 'password spraying' capaciteiten, spearphishing en het aanpassen van Microsoft Exchange mailboxrechten. De TTP's zijn waarschijnlijk ook verbonden met hun grootschalige targeting van IP-camera's in Oekraïne en aangrenzende NAVO-landen.

De GRU-eenheid 26165 heeft tientallen entiteiten binnen NAVO-lidstaten, Oekraïne en internationale organisaties geviseerd. Dit omvat de defensie-industrie, transport- en transportknooppunten (havens, luchthavens, enz.), maritieme sector, luchtverkeersleiding en IT-diensten. Landen met getroffen entiteiten zijn onder meer Nederland, de Verenigde Staten, Bulgarije, Tsjechië, Frankrijk, Duitsland, Griekenland, Italië, Moldavië, Polen, Roemenië, Slowakije en Oekraïne.

Advies

Naast het viseren van logistieke entiteiten, heeft eenheid 26165 waarschijnlijk ook toegang verkregen tot privécamera's op cruciale locaties, zoals grensovergangen en treinstations, om de beweging van materialen naar Oekraïne te volgen.

Organisaties in de logistieke en technologiesector wordt geadviseerd de verhoogde dreiging serieus te nemen, de monitoring en 'threat hunting' voor bekende TTP's en 'indicators of compromise' (IOC's) te intensiveren, en hun netwerkverdediging in te richten met de verwachting van een aanval.

Lees alle details hier.