Hienostunut salainen kyberhyökkäyskampanja kohdistuu sotilasurakoitsijoihin

Kyberhyökkäyskampanja, joka voi kohdistua kybervakoiluun, korostaa Yhdysvalloissa ja muualla sijaitseviin puolustusalan alihankkijoihin kohdistuvien kyberuhkien yhä kehittyneempää luonnetta.

Piilotettu kampanja, jonka Securonixin tutkijat havaitsivat ja jäljittävät nimellä STEEP#MAVERICK, on ​​osunut useisiin aseurakoitsijoihin Euroopassa viime kuukausina, mukaan lukien mahdollisesti Yhdysvaltain F-35 Lightning II -hävittäjäohjelman toimittajaan.

Tietoturvatoimittajan mielestä kampanjasta huomionarvoisen tekee hyökkääjän yleinen huomio toimintaturvallisuuteen (OpSec) ja sen varmistamiseen, että haittaohjelmat ovat vaikeasti havaittavissa, vaikeasti poistettavissa ja haastavia analysoida. 

Hyökkäyksissä käytetyssä PowerShell-pohjaisessa haittaohjelmavaiheessa on "esiteltiin joukko mielenkiintoisia taktiikoita, pysyvyysmetodologiaa, vastarikosteknistä tutkimusta ja kerrosten päälle hämärtämistä sen koodin piilottamiseksi”, Securonix sanoi raportissa tällä viikolla.

Harvinaiset haittaohjelmaominaisuudet

STEEP#MAVERICK-kampanja näyttää alkaneen loppukesällä hyökkäyksiä kahta korkean profiilin puolustusurakoitsijaa vastaan ​​Euroopassa. Kuten monet kampanjat, hyökkäysketju alkoi keihäs-phishing-sähköpostilla, joka sisälsi pakatun (.zip) tiedoston pikakuvakkeella (.lnk) PDF-dokumenttiin, jossa kerrotaan yrityksen eduista. Securonix kuvaili tietojenkalastelusähköpostia samanlaisena kuin se, jonka se oli kohdannut kampanjassa aiemmin tänä vuonna. Pohjois-Korean APT37 (alias Konni) uhkaryhmä.

Kun .lnk-tiedosto suoritetaan, se laukaisee Securonixin kuvaaman "melko suuren ja vankan vaiheittaisen ketjun", joista jokainen on kirjoitettu PowerShellissä ja jossa on jopa kahdeksan hämäräkerrosta. Haittaohjelmassa on myös laajat rikosteknisten ja virheenkorjaustoimintojen vastaiset ominaisuudet, joihin kuuluu pitkä lista prosesseja, joita voidaan käyttää haitallisen toiminnan etsimiseen. Haittaohjelma on suunniteltu estämään kirjaaminen ja ohittamaan Windows Defender. Se käyttää useita tekniikoita pysyäkseen järjestelmässä, mukaan lukien upottamalla itsensä järjestelmän rekisteriin, upottamalla itsensä ajoitetuksi tehtäväksi ja luomalla käynnistyspikakuvakkeen järjestelmään.

Securonixin uhkatutkimustiimin tiedottaja sanoo, että haittaohjelmien anti-analyysi- ja valvontatarkistukset ovat epätavallisia. Sama koskee myös hyötykuormien hämäräkerrosten suuri määrä ja haittaohjelmien yritykset korvata tai luoda uusia mukautettuja komento- ja ohjaus (C2) -vaiheen hyötykuormia vastauksena analyysiyrityksiin: "Jotkut hämärätekniikat, kuten PowerShell get- suoritettavaa aliasta [invoke-expression cmdlet] nähdään hyvin harvoin."

Haitalliset toiminnot suoritettiin OpSec-tietoisella tavalla erityyppisillä analyysitarkastuksilla ja väistöyrityksillä koko hyökkäyksen ajan suhteellisen korkealla toimintatahdilla mukautettuja hyötykuormia ruiskuttaen. 

"Hyökkäyksen yksityiskohtien perusteella yksi esimerkki muille organisaatioille on kiinnittää erityistä huomiota tietoturvatyökalujesi valvontaan", tiedottaja sanoo. "Organisaatioiden tulee varmistaa, että tietoturvatyökalut toimivat odotetulla tavalla, ja välttää turvautumasta yhteen tietoturvatyökaluun tai -tekniikkaan uhkien havaitsemisessa."

Kasvava kyberuhka

STEEP#MAVERICK-kampanja on vasta viimeisin kasvava määrä, joka on kohdistettu viime vuosina puolustusalan urakoitsijoille ja tavarantoimittajille. Monet näistä kampanjoista ovat osallistuneet valtion tukemiin toimijoihin Kiinasta, Venäjältä, Pohjois-Koreasta ja muista maista. 

Esimerkiksi tammikuussa Yhdysvaltain kyberturvallisuus- ja infrastruktuurin turvallisuusvirasto (CISA) antoi hälytysvaroituksen Venäjän valtion tukemista toimijoista, jotka ovat kohdistaneet hyökkäyksensä niin kutsuttuihin cleared defence contractors (CDC) -järjestöihin. varastaa arkaluonteista Yhdysvaltain puolustustietoa ja -teknologiaa. CISA-hälytyksen mukaan hyökkäykset kohdistuivat laajaan joukkoon CDC:itä, mukaan lukien ne, jotka ovat mukana kehittämässä taistelujärjestelmiä, tiedustelu- ja valvontatekniikoita, aseiden ja ohjusten kehitystä sekä taisteluajoneuvojen ja lentokoneiden suunnittelua.

Palo Alto Networksin tutkijat raportoivat helmikuussa ainakin neljän yhdysvaltalaisen puolustusalan urakoitsijan joutuneen levityskampanjan kohteeksi. tiedostoton, pistorasiaton takaovi nimeltä SockDetour. Hyökkäykset olivat osa laajempaa kampanjaa, jota tietoturvatoimittaja oli tutkinut yhdessä kansallisen turvallisuusviraston kanssa vuonna 2021 ja johon osallistui kiinalainen pitkälle kehitetty jatkuva ryhmä, joka kohdennetut puolustusurakoitsijat ja organisaatiot useilla muilla aloilla.

Puolustusurakoitsijat: Haavoittuva segmentti

Huolia kyberhyökkäysten lisääntymisestä lisää monien puolustusalan alihankkijoiden suhteellinen haavoittuvuus, vaikka niillä on salaisuuksia, joita tulisi vartioida tarkasti. 

Tuore tutkimus, jonka Black Kite teki Yhdysvaltain 100 suurimman puolustusalan urakoitsijan turvallisuuskäytännöistä, osoitti, että lähes kolmannes (32 %) alttiina kiristysohjelmahyökkäyksille. Tämä johtuu tekijöistä, kuten vuotaneista tai vaarantuneista valtuustiedoista ja heikkoista käytännöistä sellaisilla aloilla kuin valtuustietojen hallinta, sovellusten suojaus ja Security Sockets Layer/Transport Layer Security. 

72 prosenttia Black Kite -raportin vastaajista on kokenut ainakin yhden tapauksen, johon liittyy vuotanut valtakirja.

Valoa tunnelin päässä saattaa näkyä: Yhdysvaltain puolustusministeriö on yhdessä alan sidosryhmien kanssa kehittänyt joukon kyberturvallisuuden parhaita käytäntöjä, joita sotilasalan urakoitsijat voivat käyttää arkaluonteisten tietojen suojaamiseen. DoD:n Cybersecurity Maturity Model Certification -ohjelman mukaisesti puolustusalan urakoitsijoiden on otettava nämä käytännöt käyttöön – ja niillä on oltava sertifikaatti – voidakseen myydä hallitukselle. Huonot uutiset? Ohjelman käyttöönotto on viivästynyt.