En cyberangrebskampagne, potentielt rettet mod cyberspionage, fremhæver den stadig mere sofistikerede karakter af cybertrusler rettet mod forsvarsleverandører i USA og andre steder.
Den hemmelige kampagne, som forskere hos Securonix opdagede og sporer som STEEP#MAVERICK, har ramt adskillige våbenleverandører i Europa i de seneste måneder, herunder potentielt en leverandør til det amerikanske F-35 Lightning II kampflyprogram.
Det, der gør kampagnen bemærkelsesværdig ifølge sikkerhedsleverandøren, er den overordnede opmærksomhed, som angriberen har givet til operationssikkerhed (OpSec) og for at sikre, at deres malware er svær at opdage, svær at fjerne og udfordrende at analysere.
Den PowerShell-baserede malware stager brugt i angrebene har "indeholdt en række interessante taktikker, vedholdenhedsmetodologi, kontraforensik og lag på lag af sløring for at skjule dens kode,” sagde Securonix i en rapport i denne uge.
Usædvanlige Malware-funktioner
STEEP#MAVERICK-kampagnen ser ud til at være lanceret i sensommeren med angreb på to højt profilerede forsvarsentreprenører i Europa. Som mange andre kampagner begyndte angrebskæden med en spear-phishing-e-mail, der indeholdt en komprimeret (.zip) fil med en genvejsfil (.lnk) til et PDF-dokument, der angiveligt beskriver virksomhedens fordele. Securonix beskrev phishing-e-mailen som at ligne en, den var stødt på i en kampagne tidligere på året, der involverede Nordkoreas APT37 (aka Konni) trusselsgruppe.
Når .lnk-filen eksekveres, udløser den, hvad Securonix beskrev som en "temmelig stor og robust kæde af stagers", hver skrevet i PowerShell og byder på så mange som otte sløringslag. Malwaren har også omfattende anti-kriminaltekniske og modfejlfindingsfunktioner, som omfatter overvågning af en lang række processer, der kan bruges til at lede efter ondsindet adfærd. Malwaren er designet til at deaktivere logning og omgå Windows Defender. Den bruger flere teknikker til at fortsætte på et system, herunder ved at indlejre sig selv i systemregistret, ved at indlejre sig selv som en planlagt opgave og ved at oprette en startgenvej på systemet.
En talsmand for Securonix' Threat Research Team siger, at antallet og variationen af anti-analyse- og anti-overvågningstjek, malwaren har, er usædvanlig. Det samme er det store antal sløringslag for nyttelaster og malwarens forsøg på at erstatte eller generere nye brugerdefinerede kommando-og-kontrol (C2) stager-nyttelaster som svar på analyseforsøg: "Nogle sløringsteknikker, såsom brug af PowerShell get- alias til at udføre [invoke-expression cmdlet] er meget sjældent set."
De ondsindede aktiviteter blev udført på en OpSec-bevidst måde med forskellige typer af anti-analysetjek og undvigeforsøg under hele angrebet, i et relativt højt operationelt tempo med tilpassede nyttelaster injiceret.
"Baseret på detaljerne i angrebet er en takeaway for andre organisationer at være ekstra opmærksom på at overvåge dine sikkerhedsværktøjer," siger talsmanden. "Organisationer bør sikre, at sikkerhedsværktøjer fungerer som forventet og undgå at stole på et enkelt sikkerhedsværktøj eller teknologi til at opdage trusler."
En voksende cybertrussel
STEEP#MAVERICK-kampagnen er kun den seneste i et voksende antal, der har rettet sig mod forsvarsentreprenører og leverandører i de seneste år. Mange af disse kampagner har involveret statsstøttede aktører, der opererer fra Kina, Rusland, Nordkorea og andre lande.
I januar udsendte det amerikanske agentur for cybersikkerhed og infrastruktursikkerhed (CISA) f.eks. en advarsel om russiske statssponsorerede aktører, der målrettede såkaldte cleared defense contractors (CDC'er) i angreb designet at stjæle følsom amerikansk forsvarsinformation og teknologi. CISA-alarmen beskrev angrebene som rettet mod en lang række CDC'er, inklusive dem, der er involveret i udvikling af kampsystemer, efterretnings- og overvågningsteknologier, våben- og missiludvikling og design af kampkøretøjer og fly.
I februar rapporterede forskere ved Palo Alto Networks om, at mindst fire amerikanske forsvarsentreprenører blev målrettet i en kampagne for at distribuere en filløs, stikløs bagdør kaldet SockDetour. Angrebene var en del af en bredere kampagne, som sikkerhedsleverandøren havde undersøgt sammen med National Security Agency i 2021, der involverede en kinesisk avanceret vedholdende gruppe, der målrettede forsvarsentreprenører og organisationer i flere andre sektorer.
Forsvarskontraktører: Et sårbart segment
En tilføjelse til bekymringerne over det stigende antal cyberangreb er den relative sårbarhed hos mange forsvarsentreprenører, på trods af at de har hemmeligheder, der bør vogtes nøje.
Nylig forskning, som Black Kite udførte i sikkerhedspraksis hos de 100 bedste amerikanske forsvarsentreprenører, viste, at næsten en tredjedel (32 %) er sårbare over for ransomware-angreb. Dette skyldes faktorer som lækkede eller kompromitterede legitimationsoplysninger og svag praksis inden for områder som legitimationsadministration, applikationssikkerhed og Security Sockets Layer/Transport Layer Security.
72 procent af de adspurgte i Black Kite-rapporten har oplevet mindst én hændelse, der involverer en lækket legitimationsoplysninger.
Der kan være lys for enden af tunnelen: Det amerikanske forsvarsministerium har i samarbejde med industriens interessenter udviklet et sæt bedste cybersikkerhedspraksis, som militærentreprenører kan bruge til at beskytte følsomme data. Under DoD's Cybersecurity Maturity Model Certification-program er forsvarsentreprenører forpligtet til at implementere denne praksis - og blive certificeret som havende dem - for at kunne sælge til regeringen. Den dårlige nyhed? Udrulningen af programmet er blevet forsinket.
