Unitatea 29155 - hackeri ruşi vizează infrastructura critică a SUA şi a lumii, avertizează agenţiile americane de securitate

Un aviz comun privind securitatea cibernetică emis de mai multe agenţii americane a descoperit o unitate militară clandestină rusă responsabilă de atacuri cibernetice împotriva unor ţinte globale.

Avizul a fost emis de FBI, Agenţia pentru Securitate Cibernetică şi Securitate a Infrastructurii (CISA) şi Agenţia Naţională de Securitate (NSA) împreună cu parteneri străini din nouă ţări, inclusiv Regatul Unit şi Canada.

„Unitatea 29155 este responsabilă pentru tentative de lovituri de stat, sabotaje şi operaţiuni de influenţă, precum şi tentative de asasinat în întreaga Europa”, se arată în avizul din 5 septembrie.

„Unitatea 29155 şi-a extins expertiza care acum include operaţiuni cibernetice ofensive cel puţin din 2020. Aceşti actori cibernetici sunt separaţi de alte grupuri cunoscute şi mai bine stabilite, afiliate GRU, precum Unitatea 26165 şi Unitatea 74455.”

Unitatea 29155 funcţionează în cadrul Direcţiei principale de informaţii a Statului Major General al Rusiei (GRU), o agenţie de informaţii militare din cadrul forţelor armate ale ţării.

Actorii cibernetici ai unităţii vizează infrastructuri critice şi sectoare-cheie de resurse, cum ar fi serviciile guvernamentale străine, sistemele de transport, serviciile financiare, sectoarele de asistenţă medicală şi sectoarele energetice din ţările NATO, Uniunea Europeană, America de Nord, America Latină şi Asia, se arată în aviz.

Activităţile grupului fac aluzie la obiective precum colectarea de informaţii pentru spionaj, distrugerea de date pentru a declanşa sabotarea sistematică a sistemelor unei ţinte şi provocarea de daune reputaţionale prin furtul şi scurgerea de informaţii sensibile, au precizat agenţiile.

Unitatea 29155 a desfăşurat atacuri cibernetice împotriva unor ţinte globale cel puţin din 2020. Actorii cibernetici ai unităţii au fost responsabili pentru desfăşurarea „malware-ului distructiv whispergate împotriva mai multor organizaţii ucrainene victime încă din 13 ianuarie 2022”, se arată în aviz.

„Până în prezent, FBI a observat peste 14 000 de cazuri de scanare a domeniilor în cel puţin 26 de state membre NATO şi în alte câteva ţări din Uniunea Europeană (UE)”. Scanarea domeniilor ajută la identificarea problemelor de securitate ale unui sait web.

Pentru a contracara ameninţările reprezentate de unitatea 29155, recomandarea îndeamnă organizaţiile să acorde prioritate actualizărilor de rutină ale sistemelor şi să rezolve vulnerabilităţile cunoscute care au fost exploatate. Se recomandă fragmentarea reţelelor pentru a preveni răspândirea activităţilor rău intenţionate.

În plus, se sugerează activarea „autentificării multifactoriale (MFA) rezistente la phishing pentru toate serviciile de cont externe, în special pentru webmail, reţele private virtuale (VPN) şi conturi care accesează sisteme critice”.

Ameninţări ruseşti

Avertizarea a fost emisă după ce un mare juriu din Maryland a inculpat şase hackeri ruşi pentru conspiraţie în vederea piratării informatice a guvernului ucrainean, conform unui comunicat de presă din 5 septembrie al Departamentului de Justiţie al SUA (DOJ). Cinci dintre aceştia erau ofiţeri în cadrul Unităţii 29155, în timp ce unul era civil.

„Potrivit documentelor judiciare, la 13 ianuarie 2022, inculpaţii au conspirat să utilizeze serviciile unei societăţi cu sediul în SUA pentru a distribui malware cunoscut în comunitatea de securitate cibernetică drept „whispergate”, care a fost conceput pentru a arăta că un ransomware, către sistemele informatice ale zeci de entităţi guvernamentale ucrainene”, se arată în comunicat.

Cu toate acestea, „whispergate era de fapt o armă cibernetică concepută pentru a distruge complet computerul ţintă şi datele aferente înainte de invazia rusă în Ucraina”.

Acuzaţia face parte din operaţiunea „Toy Soldier”, un efort internaţional de contracarare a ameninţărilor cibernetice din partea Unităţii 29155. Avertismentul din 5 septembrie a fost emis împreună cu anunţul de inculpare a şase hackeri ruşi.

Agenţiile de informaţii americane au avertizat în repetate rânduri cu privire la ameninţările cibernetice provenite din Rusia. În 2022, un oficial de top al FBI a declarat legislatorilor că hackeri cu sediul în această ţară scanează sistemele companiilor energetice şi ale altor infrastructuri critice din America.

„Ameninţarea din partea Rusiei în sens criminal, în sensul de stat naţional, este foarte, foarte reală”, a declarat Bryan Vorndran, director adjunct în cadrul diviziei cibernetice a FBI.

În luna iulie a acestui an, doi hackeri ruşi care s-ar fi implicat în atacuri cibernetice împotriva infrastructurii critice din Statele Unite au fost sancţionaţi de Departamentul Trezoreriei. Hackerii fac parte din grupul Cyber Army of Russia Reborn (CARR).

Unul dintre cei doi comandă şi controlează operaţiunile CARR şi a acţionat ca purtător de cuvânt al grupului. Cel de-al doilea ar fi fost în spatele compromiterii unui sistem de control al unei companii energetice americane, oferind CARR acces la alarmele şi pompele pentru rezervoarele din sistemul respectiv.

În iunie, Agenţia americană pentru protecţia mediului a cerut agenţiilor care supraveghează sistemele de apă potabilă să abordeze vulnerabilităţile lor în materie de securitate cibernetică. Aceasta a subliniat că atacurile cibernetice împotriva sistemelor comunitare de apă sunt „în creştere ca frecvenţă şi gravitate” în Statele Unite.

„Pe baza incidentelor reale, ştim că un atac cibernetic asupra unui sistem de apă vulnerabil poate permite unui adversar să manipuleze tehnologia operaţională, ceea ce ar putea provoca consecinţe negative semnificative atât pentru serviciul public, cât şi pentru consumatorii de apă potabilă”, a declarat agenţia.

„Posibilele efecte includ întreruperea tratării, distribuţiei şi stocării apei pentru comunitate, deteriorarea pompelor şi a supapelor şi modificarea nivelurilor de substanţe chimice până la cantităţi periculoase.”