České bezpečnostní instituce, jmenovitě Vojenské zpravodajství (VZ) a Bezpečnostní informační služba (BIS), ve spolupráci s americkou Agenturou pro kybernetickou a infrastrukturní bezpečnost (CISA), Federálním úřadem pro vyšetřování (FBI), Národní bezpečností agenturou (NSA) a dalšími mezinárodními partnery ze Spojeného království, Austrálie, Kanady, Německa, Nizozemska, Estonska, Ukrajiny a Lotyšska vydaly upozornění, jež se týká kybernetických operací aktéra spojeného s ruskou Hlavní správou rozvědky (GRU), konkrétně 161. Specializovaného školicího střediska (Jednotka 29155). Jednotka 29155 je přinejmenším od roku 2020 zodpovědná za operace v počítačových sítích proti globálním cílům za účelem špionáže, sabotáže a poškození reputace.
Jak uvádí zpráva, aktér začal nasazovat destruktivní malware WhisperGate proti několika ukrajinským obětem již 13. ledna 2022, vůči Ukrajině následně prováděl i další útoky. Jednotka 29155 také vedla operace v počítačových sítích proti mnoha členským státům NATO a dalším zemím v Evropě, Latinské Americe a Střední Asii. Činnost skupiny zahrnuje kompromitaci webových stránek, skenování infrastruktury či exfiltraci a únik dat, která následně prodávají nebo veřejně publikují. Od počátku roku 2022 se aktér zaměřuje především na narušování mezinárodního úsilí poskytování pomoci Ukrajině.
Upozornění obsahuje detailní popis Jednotky 29155, včetně jejích taktik, technik a procesů (TTPs) spojených s kampaněmi v obdobích během i po nasazení destruktivního malwaru WhisperGate proti cílům na Ukrajině.
Spoluautoři upozornění doporučují provádět tyto mitigační techniky:
- Provádět běžné aktualizace systému a odstraňovat známé zneužívané zranitelnosti.
- Segmentovat sítě tak, abyste zabránili šíření škodlivých aktivit.
- Zapnout dvou- či vícefaktorovou autentizaci (2FA) odolnou proti phishingu pro všechny služby účtů, které jsou přístupné zvenčí, zejména pro webové e-mailové účty, virtuální privátní sítě (VPN) a účty, které přistupují ke kritickým systémům.
Úplné znění upozornění, včetně indikátorů kompromitace, použitých technik a dalšího je dostupné zde: https://www.cisa.gov/sites/default/files/2024-09/aa24-249a-russian-military-cyber-actors-target-us-and-global-critical-infrastructure.pdf