Den seneste Unit 42 rapport fra den amerikanske IT-sikkerhedsvirksomhed Palo Alto Networks viser, at den kendte hackergruppe Fighting Ursa, også kendt som Fancy Bear, bevidst udnytter fejl i Outlook til systematisk at ramme myndigheder, forsvar og vigtige infrastrukturer i NATO-lande.

Angrebene er særligt bekymrende, da de ikke kræver, at der er en aktiv brugerinteraktion. Udnyttelsen af sårbarheden ved navn CVE-2023-23397 sker automatisk, når Outlook behandler en besked og kræver ikke, at brugerne for eksempel åbner en vedhæftet fil eller klikker på et link. Forskere fra Palo Alto Networks Unit 42-researchgruppe har kunnet observere, at hackergruppen har udnyttet fejlene i systemet i mere end 20 måneder til målrettet at angribe 30 organisationer i 14 lande. Yderligere fandt forskerne, at gruppen i høj grad var interesseret i diplomatiske, økonomiske og militære anliggender, der var relateret til blandt andet:

• Energiproduktion og -distribution

• Drift af gasledninger

• Materiel-, personale- og lufttransport

• Forsvarsministerier

• Udenrigsministerier

• Ministerier for indre anliggender

• Ministerier for økonomi

Målrettet indsats – uden bekymring for afsløring

Unit 42 har undersøgt mere end 50 observerede eksempler i, hvordan Fighting Ursa/Fancy Bear rettede sig mod ofre med CVE-2023-23397.Oplysningerne gav researchgruppen et indblik i hvordan de russiske militære prioriterer i en tid med international konflikt. Zero-day exploits er i sagens natur værdifulde varer, og hackergrupperne bruger kun exploits, når belønningen forbundet med angrebet og de opnåede efterretninger opvejer risikoen for offentlig opdagelse.

Rapporten fortæller desuden, at det at bruge zero-day exploit mod et mål indikerer, at det har en betydelig værdi for hackergruppen. Fighting Ursa fortsatte med at benytte den offentligt kendte sikkerhedsbrist i både anden og tredje angreb, som allerede var tilskrevet dem, uden at ændre sin taktik. Det tyder på, at de informationer, som angrebene genererede, opvejede konsekvenserne af en eventuel offentlig afsløring.

Rapporten giver en detaljeret forståelse af en APT's målprioriteter, og det er sjældent at få indsigt i, især for en APT som Fighting Ursa/Fancy Bear, hvis formål er at udføre angreb på vegne af Ruslands militær.

Endeligt indeholder rapporten også konkrete råd til, hvordan organisationer, regeringer og udbydere af kritisk infrastruktur på tværs af NATO og europæiske lande kan beskytte sig mod fremtidige angreb ved at tage følgende skridt:

• Vær opmærksom på ovenstående taktikker

• Opdater Microsoft Outlook for at lukke ovenstående sårbarhed i systemerne

• Konfigurer endpoint-beskyttelse for at undgå trusler og angreb