De Verenigde Staten en hun bondgenoten hebben een groep Russische militaire inlichtingenhackers (getraceerd als Cadet Blizzard en Ember Bear) in verband gebracht met eenheid 29155 van de Russische Hoofddirectie van de Generale Staf van de Strijdkrachten.

In een gezamenlijk advies dat vandaag is gepubliceerd, worden de Russische hackers, bekend om het inzetten van WhisperGate data-wist malware in Oekraïne in januari 2022, beschreven als “junior actieve dienst GRU-officieren” die deel uitmaken van het 161e Specialisten Opleidingscentrum van de GRU en worden gecoördineerd door ervaren leiderschap van eenheid 29155.

De groep heeft sinds 2020 sabotage en moordpogingen in heel Europa beraamd en cyberaanvallen tegen kritieke infrastructuursectoren van NAVO-leden en landen in Noord-Amerika, Europa, Latijns-Amerika en Centraal-Azië uitgevoerd, met een verschuiving naar het verstoren van hulpinspanningen aan Oekraïne sinds begin 2022.

“Eenheid 29155 heeft hun handelswijze uitgebreid met offensieve cyberoperaties sinds ten minste 2020. De doelstellingen van de cyberactoren van eenheid 29155 lijken het verzamelen van informatie voor spionagedoeleinden, reputatieschade door de diefstal en het lekken van gevoelige informatie, en systematische sabotage door de vernietiging van gegevens te omvatten,” aldus het gezamenlijke advies van vandaag.

“Deze individuen lijken cyberervaring op te doen en hun technische vaardigheden te verbeteren door cyberoperaties en indringingen uit te voeren. Bovendien beoordeelt de FBI dat cyberactoren van eenheid 29155 vertrouwen op niet-GRU acteurs, waaronder bekende cybercriminelen en facilitators voor het uitvoeren van hun operaties.”

De FBI zegt dat het meer dan 14.000 gevallen van domeinscanning heeft gedetecteerd die gericht zijn op minstens 26 NAVO-leden en verschillende Europese Unie (EU) landen. Hackers die geassocieerd worden met eenheid 29155 van Rusland hebben websites gecompromitteerd en publieke domeinen gebruikt om gestolen gegevens te lekken.

Vandaag heeft het Amerikaanse ministerie van Buitenlandse Zaken ook een beloning tot $10 miljoen aangekondigd via het Rewards for Justice programma voor informatie over Vladislav Borovkov, Denis Igorevich Denisenko, Yuriy Denisov, Dmitry Yuryevich Goloshubov, en Nikolay Aleksandrovich Korchagin, vijf van de Russische militaire inlichtingenofficieren die naar verluidt deel uitmaken van eenheid 29155 van de GRU.

​”Deze individuen zijn leden van eenheid 29155 van de Russische Hoofddirectie van Generale Staf (GRU), die kwaadaardige cyberactiviteit heeft uitgevoerd tegen kritieke infrastructuur in de VS, met name in de energie-, overheids- en luchtvaartsectoren,” aldus het ministerie van Buitenlandse Zaken.

“Deze GRU-officieren van eenheid 29155 zijn verantwoordelijk voor het aanvallen van kritieke infrastructuur in Oekraïne en tientallen geallieerde westerse landen.”

Organisaties met kritieke infrastructuur worden aangespoord om direct actie te ondernemen, inclusief het prioriteren van systeemupdates en het patchen van bekende kwetsbaarheden om te verdedigen tegen deze met de GRU verbonden cyberaanvallen.

Aanvullende aanbevelingen omvatten netwersegmentatie om kwaadaardige activiteiten te beperken en het implementeren van phishing-resistente multifactor-authenticatie (MFA) voor alle externe diensten, met name webmail, virtuele privénetwerken (VPN’s), en accounts met toegang tot kritieke systemen.

In februari 2022, na aanvallen tegen Oekraïne met WhisperGate-wist malware, HermeticWiper malware en ransomware lokvogels, waarschuwden CISA en de FBI dat destructieve malware cyberaanvallen zich konden verspreiden naar doelen in andere landen.

Afgelopen woensdag heeft de Verenigde Staten ook een actie aangekondigd tegen Russische desinformatie voorafgaand aan de verkiezingen van 2024, waarbij 32 webdomeinen in beslag werden genomen die werden gebruikt door het Doppelgänger Russische invloedsoperatie netwerk om desinformatie en propaganda te verspreiden die gericht is op het Amerikaanse publiek voorafgaand aan de presidentsverkiezingen van dit jaar.