Ένας συνασπισμός αμερικανικών και διεθνών υπηρεσιών κυβερνοασφάλειας εξέδωσε μια αυστηρή προειδοποίηση αυτή την εβδομάδα για φιλορώσους χάκτιβιστες που εκμεταλλεύονται τις εκτεθειμένες συνδέσεις Virtual Network Computing (VNC) για να διεισδύσουν σε συστήματα λειτουργικής τεχνολογίας (OT) σε κρίσιμες υποδομές.
Η κοινή συμβουλευτική, που κυκλοφόρησε στις 9 Δεκεμβρίου 2025, υπογραμμίζει ομάδες όπως οι Cyber Army of Russia Reborn (CARR), Z-Pentest, NoName057(16) και Sector16 που στοχεύουν σε τομείς νερού, τροφίμων και γεωργίας και ενέργειας μέσω στοιχειωδών αλλά αποτελεσματικών τακτικών.
Αυτές οι ομάδες έχουν εξελιχθεί εν μέσω γεωπολιτικών εντάσεων μετά την εισβολή της Ρωσίας στην Ουκρανία το 2022. Η CARR, που αρχικά υποστηριζόταν από τη ρωσική στρατιωτική μονάδα GRU 74455, μεταπήδησε στις επιθέσεις OT μέχρι τα τέλη του 2023, διεκδικώντας χτυπήματα σε ευρωπαϊκές μονάδες επεξεργασίας λυμάτων και γαλακτοκομικά αγροκτήματα των ΗΠΑ.
Το NoName057(16), συνδεδεμένο με ένα κέντρο παρακολούθησης νέων που συνδέεται με το Κρεμλίνο, ειδικεύεται στο DDoS αλλά συνεργάζεται σε εισβολές. Τα νεότερα outfits όπως το Z-Pentest, που δημιουργήθηκαν τον Σεπτέμβριο του 2024 από τους αποστάτες CARR και NoName057(16) και το Sector16, που κυκλοφόρησαν τον Ιανουάριο του 2025, δίνουν προτεραιότητα στις λειτουργίες “hack and leak” για δημοσιότητα, συχνά υπερβάλλοντας τις επιπτώσεις μέσω των βίντεο του Telegram.
Οι συνδέσεις VNC αξιοποιήθηκαν
Σε αντίθεση με τα εξελιγμένα APT, αυτοί οι φορείς στερούνται βαθιάς τεχνογνωσίας, επιλέγοντας ευκαιριακές επιθέσεις σε διεπαφές ανθρώπου-μηχανής που αντιμετωπίζουν το Διαδίκτυο (HMI) με αδύναμες προστασίες VNC.
Σαρώνουν θύρες όπως το 5900 χρησιμοποιώντας Nmap ή OpenVAS, αναπτύσσουν εργαλεία brute-force που φιλοξενούνται από VPS έναντι προεπιλεγμένων ή απλών κωδικών πρόσβασης και, στη συνέχεια, χειρίζονται τα GUI για να αλλάξουν παραμέτρους, να απενεργοποιήσουν συναγερμούς ή να μετονομάσουν συσκευές, προκαλώντας “απώλεια προβολής” που αναγκάζει τις μη αυτόματες παρακάμψεις.
Η συμβουλευτική αναλύει τις τεχνικές MITER ATT&CK, από την αναγνώριση (T1595.002) έως την πρόσκρουση (T0829: Απώλεια όρασης). Οι επιτιθέμενοι καταγράφουν διαπιστευτήρια, αλλαγές στιγμιότυπων οθόνης και δημοσιεύουν αποδείξεις στο διαδίκτυο, στοχεύοντας στο buzz των μέσων και όχι στην κατασκοπεία.
Τα θύματα αντιμετωπίζουν διακοπές λειτουργίας, κόστος αποκατάστασης και σπάνιες σωματικές βλάβες, όπως διαταραχές στις εργοστασιακές διαδικασίες. Μια υπόθεση Απριλίου 2025 είδε την ταυτόχρονη DDoS που βοηθούσε την πρόσβαση στο SCADA, υπογραμμίζοντας τη διάδοση μέσω κοινών TTP μεταξύ των συμμάχων.
Τα πρακτορεία σημειώνουν ακόμη ότι δεν υπάρχουν τραυματισμοί, αλλά προειδοποιούν για κλιμάκωση των κινδύνων στα κατεχόμενα. Οι επιπτώσεις περιλαμβάνουν τα τέλη επαναπρογραμματισμού και τις λειτουργικές παύσεις, που ενισχύονται από την αδιαφορία των παραγόντων για την ασφάλεια.
Οι ιδιοκτήτες υποδομών ζωτικής σημασίας πρέπει να δράσουν γρήγορα. Κορυφαίες προτεραιότητες: εξάλειψη OT που εκτίθενται στο διαδίκτυο, τμηματοποίηση δικτύων IT/OT, επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και αποκλεισμός προεπιλογών.
Χρησιμοποιήστε εργαλεία επιφάνειας επίθεσης για να κυνηγήσετε εκθέσεις VNC, να ελέγξετε τα τείχη προστασίας για έξοδο και να ενεργοποιήσετε λειτουργίες μόνο προβολής. Οι κατασκευαστές θα πρέπει να αποστέλλουν συσκευές “ασφαλείς από το σχεδιασμό” χωρίς προεπιλογές, SBOM και δωρεάν καταγραφή.
Δημιουργία αντιγράφων ασφαλείας HMI, εγχειρίδιο δοκιμής αποτυχιών και παρακολούθηση ανωμαλιών, όπως περίεργες συνδέσεις. Απόκριση περιστατικού: απομόνωση, κυνήγι, επανάληψη εικόνας, διαπιστευτήρια αναπροσαρμογής, αναφορά στην CISA/FBI.
Αυτή η συμβουλευτική κατασκευάζει σε προηγούμενες ειδοποιήσεις, όπως τα μέτρα μετριασμού του OT της CISA τον Μάιο του 2025, προτρέποντας σε παγκόσμια επαγρύπνηση. Καθώς οι hacktivists επαναλαμβάνουν, σφυρηλατούν συμμαχίες και ενισχύουν αξιώσεις, οι υπερασπιστές δεν μπορούν να αντέξουν οικονομικά τον εφησυχασμό. Η προληπτική σκλήρυνση ανατρέπει αυτές τις απειλές χαμηλού φραγμού προτού εξελιχθούν.
Related Posts
Η NSA εκδίδει Οδηγίες για τους ISP και τους υπερασπιστές δικτύου για την καταπολέμηση της κακόβουλης δραστηριότητας
Χάκερ που εκμεταλλεύονται την ευπάθεια του XWiki στη φύση για να προσλάβουν τους διακομιστές για το Botnet
Το SoundCloud επιβεβαιώνει παραβίαση δεδομένων μετά από προβλήματα VPN και πρόσβασης
