Le operazioni di guerra informatica russa di Trident Ursa o APT Gamaredon sono rimaste attive dall'invasione dell'Ucraina. Inoltre, c'è stato un tentativo di attacco a un'importante raffineria di petrolio in uno stato membro della NATO.
L'Ucraina ha affrontato minacce informatiche crescenti dalla Russia dall'inizio di febbraio, quando l'Unità 42 di Palo Alto Networks ha riferito ampiamente sul gruppo APT Trident Ursa (alias Gamaredon, UAC-0010, Primitive Bear, Shuckworm). Trident Ursa è un gruppo affiliato all'agenzia di intelligence interna russa FSB. Mentre il conflitto continua sul terreno e nel cyberspazio, Trident Ursa rimane uno degli APT più diffusi, continuamente attivi e presi di mira contro l'Ucraina.
500 nuovi domini come piattaforma di attacco
Data l'attuale situazione geopolitica e l'obiettivo specifico di questo gruppo APT, i ricercatori dell'Unità 42 continuano a cercare attivamente indicatori di operazioni. In tal modo, hanno identificato oltre 500 nuovi domini, 200 campioni e altri IoC (indicatori di compromissione) che supportano i vari obiettivi di phishing e malware di Trident Ursa negli ultimi dieci mesi. Durante il monitoraggio di questi domini e delle informazioni open source, i ricercatori hanno notato diverse attività degne di nota:
- Un tentativo fallito il 30 agosto 2022 di compromettere un importante raffinatore in uno stato membro della NATO.
- Una persona apparentemente imparentata con Trident Ursa ha minacciato un ricercatore di sicurezza informatica ucraino subito dopo l'invasione iniziale.
- Diverse modifiche a tattiche, tecniche e procedure (TTP).
risultanze dell'inchiesta
Trident Ursa rimane un APT agile e adattabile che non impiega tecniche eccessivamente sofisticate o complesse nelle sue operazioni. Nella maggior parte dei casi, il gruppo si affida a strumenti e script disponibili pubblicamente, oltre a un notevole grado di offuscamento, nonché a tentativi di phishing di routine per condurre con successo le operazioni.
Questi vengono regolarmente scoperti da ricercatori e organizzazioni governative, da cui il gruppo sembra non essere turbato. Aggiunge semplicemente ulteriori offuscamenti, nuovi domini e nuove tecniche e riprova, spesso anche riutilizzando schemi precedenti. Trident Ursa opera in questo modo almeno dal 2014 e non ha mostrato segni di rallentamento durante questo periodo di conflitto. Per tutti questi motivi, rimane una minaccia significativa per l'Ucraina e i suoi alleati.
Protezione e azioni correttive
La migliore difesa contro Trident Ursa è una posizione di sicurezza che favorisce la prevenzione. L'Unità 42 raccomanda alle aziende di intraprendere le seguenti azioni:
- Ricerca nei registri della rete e degli endpoint per gli indicatori degli indicatori di compromissione associati a questo gruppo di minacce.
- Garantire che le soluzioni di sicurezza informatica blocchino efficacemente gli IoC dell'infrastruttura attiva.
- Implementazione di una soluzione di sicurezza DNS per rilevare e mitigare le richieste DNS per infrastrutture C2 note. A meno che un'azienda non abbia un caso d'uso specifico per servizi come la messaggistica di Telegram e gli strumenti di ricerca del dominio nel proprio ambiente aziendale, questi domini dovrebbero essere aggiunti all'elenco dei blocchi. Nel caso di reti Zero Trust, i domini non dovrebbero essere inclusi nell'elenco dei domini consentiti.
- Applicazione di un ulteriore controllo a tutto il traffico di rete che comunica con AS 197695(Reg[.]ru).
A proposito di Palo Alto Networks Palo Alto Networks, leader globale nelle soluzioni di sicurezza informatica, sta plasmando il futuro basato sul cloud con tecnologie che trasformano il modo in cui lavorano le persone e le aziende. La nostra missione è essere il partner preferito per la sicurezza informatica e proteggere il nostro stile di vita digitale. Ti aiutiamo ad affrontare le maggiori sfide di sicurezza del mondo con un'innovazione continua che sfrutta le ultime scoperte in termini di intelligenza artificiale, analisi, automazione e orchestrazione. Fornendo una piattaforma integrata e potenziando un ecosistema di partner in crescita, siamo leader nella protezione di decine di migliaia di aziende su cloud, reti e dispositivi mobili. La nostra visione è un mondo in cui ogni giorno è più sicuro di quello precedente.