Μια εκστρατεία κυβερνοεπιθέσεων, δυνητικά προσανατολισμένη στην κατασκοπεία στον κυβερνοχώρο, υπογραμμίζει την ολοένα και πιο εξελιγμένη φύση των κυβερνοαπειλών που στοχεύουν αμυντικούς εργολάβους στις ΗΠΑ και αλλού.
Η μυστική εκστρατεία, την οποία οι ερευνητές της Securonix εντόπισαν και παρακολουθούν ως STEEP#MAVERICK, έπληξε πολλούς εργολάβους όπλων στην Ευρώπη τους τελευταίους μήνες, συμπεριλαμβανομένου πιθανώς προμηθευτή του προγράμματος μαχητικών αεροσκαφών F-35 Lightning II των ΗΠΑ.
Αυτό που κάνει την καμπάνια αξιοσημείωτη σύμφωνα με τον προμηθευτή ασφαλείας είναι η συνολική προσοχή που έχει δώσει ο εισβολέας στην ασφάλεια λειτουργιών (OpSec) και στο να διασφαλίσει ότι το κακόβουλο λογισμικό του είναι δύσκολο να εντοπιστεί, να αφαιρεθεί και να είναι δύσκολο να αναλυθεί.
Το πρόγραμμα σταδίου κακόβουλου λογισμικού που βασίζεται σε PowerShell που χρησιμοποιείται στις επιθέσεις έχει "παρουσίαζε μια σειρά από ενδιαφέρουσες τακτικές, μεθοδολογία επιμονής, αντιεγκληματολογία και στρώματα συσκότισης για να κρύψει τον κώδικά του», δήλωσε η Securonix σε μια αναφορά αυτή την εβδομάδα.
Ασυνήθιστες δυνατότητες κακόβουλου λογισμικού
Η εκστρατεία STEEP#MAVERICK φαίνεται να ξεκίνησε στα τέλη του καλοκαιριού με επιθέσεις σε δύο υψηλού προφίλ αμυντικούς εργολάβους στην Ευρώπη. Όπως πολλές καμπάνιες, η αλυσίδα επίθεσης ξεκίνησε με ένα email spear-phishing που περιείχε ένα συμπιεσμένο (.zip) fie με ένα αρχείο συντόμευσης (.lnk) σε ένα έγγραφο PDF που υποτίθεται ότι περιγράφει τα οφέλη της εταιρείας. Η Securonix περιέγραψε το ηλεκτρονικό ταχυδρομείο ηλεκτρονικού "ψαρέματος" (phishing) ως παρόμοιο με αυτό που είχε συναντήσει σε μια καμπάνια νωρίτερα αυτό το έτος που αφορούσε Η ομάδα απειλών APT37 (γνωστή και ως Konni) της Βόρειας Κορέας.
Όταν εκτελείται το αρχείο .lnk, ενεργοποιεί αυτό που η Securonix περιέγραψε ως μια «σχετικά μεγάλη και ισχυρή αλυσίδα σταδίων», το καθένα γραμμένο σε PowerShell και διαθέτει έως και οκτώ επίπεδα συσκότισης. Το κακόβουλο λογισμικό διαθέτει επίσης εκτεταμένες δυνατότητες κατά της εγκληματολογίας και αντιμετώπισης σφαλμάτων, οι οποίες περιλαμβάνουν την παρακολούθηση μιας μεγάλης λίστας διαδικασιών που θα μπορούσαν να χρησιμοποιηθούν για την αναζήτηση κακόβουλης συμπεριφοράς. Το κακόβουλο λογισμικό έχει σχεδιαστεί για να απενεργοποιεί την καταγραφή και να παρακάμπτει το Windows Defender. Χρησιμοποιεί διάφορες τεχνικές για να παραμείνει σε ένα σύστημα, συμπεριλαμβανομένης της ενσωμάτωσης του στο μητρώο του συστήματος, της ενσωμάτωσης του ως προγραμματισμένης εργασίας και της δημιουργίας μιας συντόμευσης εκκίνησης στο σύστημα.
Ένας εκπρόσωπος της Securonix's Threat Research Team λέει ότι ο αριθμός και η ποικιλία των ελέγχων κατά της ανάλυσης και της παρακολούθησης που έχει το κακόβουλο λογισμικό είναι ασυνήθιστη. Το ίδιο ισχύει και για τον μεγάλο αριθμό επιπέδων συσκότισης για ωφέλιμα φορτία και τις προσπάθειες του κακόβουλου λογισμικού να αντικαταστήσει ή να δημιουργήσει νέα προσαρμοσμένα ωφέλιμα φορτία σταδίων εντολών και ελέγχου (C2) ως απόκριση σε προσπάθειες ανάλυσης: «Ορισμένες τεχνικές συσκότισης, όπως η χρήση του PowerShell get- ψευδώνυμα για εκτέλεση [το cmdlet invoke-expression] εμφανίζονται πολύ σπάνια."
Οι κακόβουλες δραστηριότητες πραγματοποιήθηκαν με τρόπο που να γνωρίζει το OpSec με διαφορετικούς τύπους ελέγχων κατά της ανάλυσης και απόπειρες αποφυγής καθ' όλη τη διάρκεια της επίθεσης, σε σχετικά υψηλό επιχειρησιακό ρυθμό με εγχύσεις προσαρμοσμένων ωφέλιμων φορτίων.
«Με βάση τις λεπτομέρειες της επίθεσης, ένα πακέτο για άλλους οργανισμούς δίνει ιδιαίτερη προσοχή στην παρακολούθηση των εργαλείων ασφαλείας σας», λέει ο εκπρόσωπος. «Οι οργανισμοί θα πρέπει να διασφαλίζουν ότι τα εργαλεία ασφαλείας λειτουργούν όπως αναμένεται και να αποφεύγουν να βασίζονται σε ένα μόνο εργαλείο ή τεχνολογία ασφαλείας για τον εντοπισμό απειλών».
Μια αυξανόμενη απειλή στον κυβερνοχώρο
Η καμπάνια STEEP#MAVERICK είναι μόνο η πιο πρόσφατη σε έναν αυξανόμενο αριθμό που έχουν στοχεύσει εργολάβους και προμηθευτές άμυνας τα τελευταία χρόνια. Πολλές από αυτές τις εκστρατείες έχουν συμμετάσχει κρατικά υποστηριζόμενοι παράγοντες που δρουν από την Κίνα, τη Ρωσία, τη Βόρεια Κορέα και άλλες χώρες.
Τον Ιανουάριο, για παράδειγμα, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) εξέδωσε προειδοποίηση για ρωσικούς φορείς που χρηματοδοτούνται από το κράτος που στοχεύουν τους λεγόμενους εκκαθαρισμένους αμυντικούς εργολάβους (CDC) σε επιθέσεις που σχεδιάστηκαν να κλέψει ευαίσθητες αμυντικές πληροφορίες και τεχνολογία των ΗΠΑ. Η προειδοποίηση της CISA περιέγραψε τις επιθέσεις ότι στόχευαν ένα ευρύ φάσμα CDC, συμπεριλαμβανομένων εκείνων που εμπλέκονται στην ανάπτυξη συστημάτων μάχης, τεχνολογιών πληροφοριών και επιτήρησης, ανάπτυξης όπλων και πυραύλων και σχεδίασης οχημάτων μάχης και αεροσκαφών.
Τον Φεβρουάριο, ερευνητές στο Palo Alto Networks ανέφεραν ότι τουλάχιστον τέσσερις αμυντικοί εργολάβοι των ΗΠΑ στοχοποιήθηκαν σε μια εκστρατεία διανομής μια κερκόπορτα χωρίς αρχεία, χωρίς πρίζα που ονομάζεται SockDetour. Οι επιθέσεις ήταν μέρος μιας ευρύτερης εκστρατείας που ο προμηθευτής ασφάλειας είχε ερευνήσει μαζί με την Εθνική Υπηρεσία Ασφαλείας το 2021, στην οποία εμπλέκεται μια κινεζική προηγμένη επίμονη ομάδα που στοχευμένους αμυντικούς εργολάβους και οργανισμούς σε πολλούς άλλους τομείς.
Εργολάβοι Άμυνας: Ένα Ευάλωτο Τμήμα
Στις ανησυχίες για τον αυξανόμενο όγκο των κυβερνοεπιθέσεων προστίθεται η σχετική ευπάθεια πολλών αμυντικών εργολάβων, παρά το γεγονός ότι έχουν μυστικά που θα πρέπει να φυλάσσονται στενά.
Πρόσφατη έρευνα που διεξήγαγε η Black Kite σχετικά με τις πρακτικές ασφαλείας των 100 κορυφαίων εργολάβων άμυνας των ΗΠΑ έδειξε ότι σχεδόν το ένα τρίτο (32%) είναι ευάλωτο σε επιθέσεις ransomware. Αυτό οφείλεται σε παράγοντες όπως διαπιστευτήρια που διέρρευσαν ή παραβιάστηκαν και αδύναμες πρακτικές σε τομείς όπως η διαχείριση διαπιστευτηρίων, η ασφάλεια εφαρμογών και η ασφάλεια επιπέδου υποδοχών ασφαλείας/επιπέδου μεταφοράς.
Το εβδομήντα δύο τοις εκατό των ερωτηθέντων στην αναφορά Black Kite έχουν βιώσει τουλάχιστον ένα περιστατικό που αφορούσε διαπιστευτήρια που διέρρευσαν.
Θα μπορούσε να υπάρχει φως στο τέλος του τούνελ: Το Υπουργείο Άμυνας των ΗΠΑ, σε συνδυασμό με τους ενδιαφερόμενους φορείς της βιομηχανίας, έχει αναπτύξει ένα σύνολο βέλτιστων πρακτικών κυβερνοασφάλειας για στρατιωτικούς εργολάβους που θα χρησιμοποιούν για την προστασία ευαίσθητων δεδομένων. Στο πλαίσιο του προγράμματος πιστοποίησης μοντέλου ωριμότητας κυβερνοασφάλειας του Υπουργείου Εξωτερικών, οι εργολάβοι στον τομέα της άμυνας πρέπει να εφαρμόζουν αυτές τις πρακτικές - και να πιστοποιούνται ότι τις διαθέτουν - για να μπορούν να τις πουλήσουν στην κυβέρνηση. Τα άσχημα νέα; Η ανάπτυξη του προγράμματος έχει καθυστερήσει.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
