Begin 2023 waarschuwden de Oekraïense veiligheidsdiensten voor een kwetsbaarheid in Microsoft Outlook die voor militaire doeleinden kan worden misbruikt. Vandaag ziet UNIT 42, de onderzoekstak van cybersecuritybedrijf Palo Alto Networks, dat het beruchte Russische hackerscollectief “Fighting Ursa” de CVE-2023–23397 zwakte ook daadwerkelijk misbruikt voor spionagedoeleinden. De cybercriminelen maakten al minstens 30 slachtoffers in de NAVO. Voorlopig is nog geen Belgische organisatie getroffen door de criminelen uit Rusland.
Microsoft Outlook
De kwetsbaarheid in Outlook werd voor het eerst misbruikt op 18 maart 2022, drie weken na de invasie in Oekraïne. De hackersgroep Fighting Ursa, die nauwe banden onderhoudt met het Kremlin, maakte op die dag bekend dat het via de kwetsbaarheid in Microsoft de publieke migratiedienst van Oekraïne had gehackt. Een paar dagen later erkende Microsoft de zwakte in haar systemen.
Link met Moskou
Fighting Ursa zag het licht aan het begin van deze eeuw. Het collectief helpt de Russische autoriteiten in hun online oorlogsvoering. Op hun weinig lovenswaardig palmares staat: antidoping initiatieven voor de Olympische Spelen in diskrediet brengen, het onderzoek naar vergiftiging in Londen beïnvloeden, en de verkiezingen in de VS, Frankrijk en Duitsland manipuleren.
Tussen 2022 en 2023 ontdekten de onderzoekers van Palo Alto Networks drie verschillende campagnes waar Fighting Ursa het telkens gemunt heeft op NAVO-regeringsinstanties of organisaties die er nauwe banden mee hebben. Het gaat dan onder andere over bedrijven actief in de energiesector, transport of telecommunicatie.
De onderzoekers van Palo Alto Networks raden aan om de kwetsbaarheid in Microsoft Outlook zo snel mogelijk te patchen.
Lees het volledige rapport over Fighting Ursa via deze link.
