Küberrünnakukampaania, mis võib olla suunatud küberspionaažile, toob esile USA ja mujal asuvate kaitsetöövõtjate sihtmärgiks olevate küberohtude üha keerukama olemuse.
Varjatud kampaania, mille Securonixi teadlased tuvastasid ja jälgivad kui STEEP#MAVERICK, on viimastel kuudel tabanud mitut relvatöövõtjat Euroopas, sealhulgas potentsiaalselt USA hävitajate programmi F-35 Lightning II tarnijat.
Turbemüüja arvates teeb kampaania tähelepanuväärseks üldine tähelepanu, mille ründaja on pööranud operatsioonide turvalisusele (OpSec) ja sellele, et nende pahavara oleks raskesti tuvastatav, raske eemaldada ja analüüsida keeruline.
Rünnakutel kasutatud PowerShellil põhineval pahavara etapil on "sisaldas hulgaliselt huvitavaid taktikaid, püsivuse metoodikat, kohtuekspertiisi ja kihtide kaupa hägustamist, et varjata selle koodi,” ütles Securonix sel nädalal avaldatud aruandes.
Aeg-ajalt pahavara võimalused
STEEP#MAVERICK kampaania näib olevat alanud hilissuvel rünnakutega kahe kõrgetasemelise kaitsetöövõtja vastu Euroopas. Nagu paljud kampaaniad, sai ründeahel alguse andmepüügi e-kirjast, mis sisaldas tihendatud (.zip) faili koos otsetee (.lnk) failiga PDF-dokumendile, mis väidetavalt kirjeldab ettevõtte eeliseid. Securonix kirjeldas, et andmepüügimeil on sarnane sellele, mida ta kohtas selle aasta alguses korraldatud kampaanias, mis hõlmas Põhja-Korea APT37 (teise nimega Konni) ohurühmitus.
Kui .lnk-fail käivitatakse, käivitab see Securonixi kirjelduse kui "üsna suure ja tugeva etapiviiside ahela", millest igaüks on kirjutatud PowerShellis ja millel on kuni kaheksa hägustamiskihti. Pahavara sisaldab ka ulatuslikke kohtuekspertiisi ja silumisvastaseid võimalusi, mis hõlmavad pika loendi jälgimist protsessidest, mida saab kasutada pahatahtliku käitumise otsimiseks. Pahavara on loodud logimise keelamiseks ja Windows Defenderist mööda hiilimiseks. See kasutab süsteemis püsimiseks mitut tehnikat, sealhulgas manustades end süsteemiregistrisse, manustades end ajastatud toiminguna ja luues süsteemis käivitusotsetee.
Securonixi ohuuuringute meeskonna pressiesindaja ütleb, et pahavara analüüside ja seirevastaste kontrollide arv ja mitmekesisus on ebatavalised. Sama kehtib ka kasulike koormuste hägustamise kihtide suur arv ja pahavara katsed asendada või genereerida uusi kohandatud käsu- ja juhtimise (C2) etapiviisilisi kasulikke koormusi vastuseks analüüsikatsetele: „Mõned hägusustehnikad, näiteks PowerShelli kasutamine Esialgseid varjunimesid [invoke-expression cmdlet] nähakse väga harva.
Pahatahtlikud tegevused viidi läbi OpSec-teadlikul viisil koos erinevat tüüpi analüüsivastaste kontrollide ja kõrvalehoidmiskatsetega kogu ründe vältel, suhteliselt kõrge töötempoga ja kohandatud kasulike koormustega.
"Rünnaku üksikasjade põhjal on teiste organisatsioonide jaoks üks võimalus pöörata erilist tähelepanu teie turvatööriistade jälgimisele," ütleb pressiesindaja. "Organisatsioonid peaksid tagama, et turbetööriistad töötavad ootuspäraselt ja vältima ohtude tuvastamiseks ühele turvatööriistale või -tehnoloogiale lootmist."
Kasvav küberoht
STEEP#MAVERICK kampaania on kõigest uusim üha kasvavast arvust, mis on viimastel aastatel olnud suunatud kaitsetöövõtjatele ja -tarnijatele. Paljud neist kampaaniatest on kaasanud riigi toetatud osalejaid, kes tegutsevad Hiinast, Venemaalt, Põhja-Koreast ja teistest riikidest.
Näiteks jaanuaris andis USA küberjulgeoleku ja infrastruktuuri turvaagentuur (CISA) välja hoiatushoiatuse Venemaa riiklikult toetatud osalejate eest, kes sihivad nn läbitud kaitsetöövõtjaid (CDC) kavandatud rünnakutes. varastada tundlikku USA kaitsealast teavet ja tehnoloogiat. CISA hoiatus kirjeldas, et rünnakud olid suunatud laiale hulgale CDC-dele, sealhulgas neile, kes on seotud lahingusüsteemide, luure- ja seiretehnoloogiate, relvade ja rakettide arendamise ning lahingumasinate ja -lennukite projekteerimisega.
Veebruaris teatasid Palo Alto Networksi teadlased, et levitamiskampaanias on sihtmärgiks olnud vähemalt neli USA kaitsetöövõtjat. failita pistikupesadeta tagauks nimega SockDetour. Rünnakud olid osa laiemast kampaaniast, mida turvamüüja uuris koos riikliku julgeolekuagentuuriga 2021. aastal, mis hõlmas Hiina arenenud püsivat rühmitust, mis sihtotstarbelised kaitsetöövõtjad ja organisatsioonid paljudes teistes sektorites.
Kaitsetöövõtjad: haavatav segment
Küberrünnakute arvu suurenemise pärast suurendab muret paljude kaitsetöövõtjate suhteline haavatavus, hoolimata sellest, et neil on saladusi, mida tuleks hoolikalt valvata.
Hiljutised uuringud, mille Black Kite viis läbi USA 100 suurima kaitsetöövõtja turvatavade kohta, näitasid, et peaaegu kolmandik (32%) haavatav lunavara rünnakute suhtes. Selle põhjuseks on sellised tegurid nagu lekkinud või ohustatud mandaadid ja nõrk tavad sellistes valdkondades nagu mandaadihaldus, rakenduste turvalisus ja turbepesakihi/transpordikihi turvalisus.
XNUMX protsenti Black Kite'i aruandes vastanutest on kogenud vähemalt ühte vahejuhtumit, mis on seotud volikirja lekkimisega.
Tunneli lõpus võib näha valgust: USA kaitseministeerium on koostöös valdkonna sidusrühmadega välja töötanud hulga küberjulgeoleku parimaid tavasid, mida sõjalised töövõtjad saavad kasutada tundlike andmete kaitsmiseks. DoD küberjulgeoleku küpsuse mudeli sertifitseerimisprogrammi kohaselt peavad kaitsetöövõtjad neid tavasid rakendama ja saama sertifikaadi, et nad saaksid valitsusele müüa. Halvad uudised? Programmi levitamine on edasi lükatud.
