Egy kibertámadási kampány, amely potenciálisan kiberkémkedésre irányul, rávilágít az Egyesült Államokban és másutt védelmi vállalkozókat célzó kiberfenyegetések egyre kifinomultabb természetére.
A titkos kampány, amelyet a Securonix kutatói STEEP#MAVERICK néven észleltek és nyomon követnek, az elmúlt hónapokban több fegyvergyártót is elért Európában, köztük az Egyesült Államok F-35 Lightning II vadászrepülőgép-programjának potenciális szállítóját.
A kampányt a biztonsági szállító szerint az teszi figyelemre méltóvá, hogy a támadó az üzemeltetési biztonságra (OpSec) és annak biztosítására fordított általános figyelmet, hogy rosszindulatú programjait nehéz észlelni, nehéz eltávolítani, és nehéz elemezni.
A támadásokhoz használt PowerShell-alapú rosszindulatú program „egy sor érdekes taktikát mutatott be, a perzisztencia módszertanát, az ellentörvényszéki elemzéseket és a több rétegre kiterjedő homályosítást, hogy elrejtse a kódját” – mondta a Securonix egy e heti jelentésében.
Nem mindennapi rosszindulatú programok
Úgy tűnik, hogy a STEEP#MAVERICK kampány nyár végén indult, amikor két nagy horderejű európai védelmi vállalkozót támadtak meg. Sok kampányhoz hasonlóan a támadási lánc egy adathalász e-maillel kezdődött, amely egy tömörített (.zip) fájlt tartalmazott egy parancsikonnal (.lnk) egy PDF dokumentumhoz, amely állítólag a vállalat előnyeit írja le. A Securonix leírása szerint az adathalász e-mail hasonló ahhoz, amelyre egy kampány során találkozott az év elején, Észak-Korea APT37 (más néven Konni) fenyegető csoportja.
Amikor az .lnk fájl végrehajtódik, elindítja azt, amit a Securonix „meglehetősen nagy és robusztus szakaszoló láncként” írt le, mindegyik PowerShellben íródott, és nyolc elhomályosító réteget tartalmaz. A rosszindulatú program kiterjedt kriminalisztikai és hibaelhárítási képességekkel is rendelkezik, amelyek magukban foglalják a rosszindulatú viselkedések keresésére használható folyamatok hosszú listájának figyelését. A rosszindulatú program célja a naplózás letiltása és a Windows Defender megkerülése. Számos technikát használ a rendszeren való fennmaradáshoz, például beágyazza magát a rendszerleíró adatbázisba, beágyazza magát ütemezett feladatként és indítási parancsikont hoz létre a rendszeren.
A Securonix fenyegetéskutató csoportjának szóvivője szerint a rosszindulatú program által végzett anti-elemzési és felügyeleti ellenőrzések száma és változatossága szokatlan. Ugyanez vonatkozik a hasznos terhelésekre vonatkozó elfedési rétegek nagy száma és a rosszindulatú programok új egyéni parancs- és vezérlési (C2) szakaszos rakományok helyettesítésére vagy generálására tett kísérletei az elemzési kísérletekre válaszul: „Néhány homályosító technikák, például a PowerShell get- a végrehajtáshoz szükséges álnevet [az invoke-expression cmdlet] nagyon ritkán látják."
A rosszindulatú tevékenységeket az OpSec-tudatos módon hajtották végre, különböző típusú anti-analízis-ellenőrzésekkel és kijátszási kísérletekkel a támadás során, viszonylag magas működési tempóban, egyedi hasznos terhelésekkel.
„A támadás részletei alapján a többi szervezet számára az a jellemző, hogy fokozott figyelmet fordítanak a biztonsági eszközök figyelésére” – mondja a szóvivő. „A szervezeteknek biztosítaniuk kell, hogy a biztonsági eszközök a várt módon működjenek, és kerülniük kell, hogy egyetlen biztonsági eszközre vagy technológiára támaszkodjanak a fenyegetések észleléséhez.”
Növekvő kiberfenyegetés
A STEEP#MAVERICK kampány csak a legújabb a növekvő számban, amely az elmúlt években a védelmi vállalkozókat és beszállítókat célozta meg. Számos ilyen kampányban részt vettek Kínából, Oroszországból, Észak-Koreából és más országokból származó, államilag támogatott szereplők.
Januárban például az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) riasztást adott ki az orosz államilag támogatott szereplőkre, akik úgynevezett „cleed Defense contractors” (CDC-k) ellen irányulnak tervezett támadásokban. érzékeny amerikai védelmi információkat és technológiát lopni. A CISA riasztása szerint a támadások a CDC-k széles körét célozták, beleértve azokat is, amelyek harci rendszerek, hírszerzési és megfigyelési technológiák fejlesztésében, fegyver- és rakétafejlesztésben, valamint harcjárművek és repülőgépek tervezésében vesznek részt.
Februárban a Palo Alto Networks kutatói arról számoltak be, hogy legalább négy amerikai védelmi vállalkozót céloztak meg egy terjesztési kampányban. egy fájl nélküli, aljzat nélküli hátsó ajtó SockDetour néven. A támadások egy szélesebb körű kampány részét képezték, amelyet a biztonsági szolgáltató a Nemzetbiztonsági Ügynökséggel együtt vizsgált 2021-ben, egy kínai fejlett, kitartó csoport részvételével. célzott védelmi vállalkozók és számos más ágazat szervezetei.
Védelmi vállalkozók: Sebezhető szegmens
A kibertámadások növekvő mennyiségével kapcsolatos aggodalmakat tovább fokozza számos védelmi vállalkozó viszonylagos sebezhetősége, annak ellenére, hogy vannak olyan titkaik, amelyeket szigorúan meg kell őrizni.
A Black Kite által a 100 legjobb amerikai védelmi vállalkozó biztonsági gyakorlatairól végzett közelmúltbeli kutatás kimutatta, hogy közel egyharmada (32%) sebezhető a ransomware támadásokkal szemben. Ennek oka az olyan tényezők, mint a kiszivárgott vagy feltört hitelesítési adatok, valamint a gyenge gyakorlatok olyan területeken, mint a hitelesítő adatok kezelése, az alkalmazások biztonsága és a Security Sockets Layer/Transport Layer Security.
A Black Kite jelentésben szereplő válaszadók XNUMX százaléka tapasztalt legalább egy olyan incidenst, amely kiszivárgott hitelesítő adatokkal kapcsolatos.
Lehet fény az alagút végén: az Egyesült Államok Védelmi Minisztériuma az iparági érdekelt felekkel együttműködve kidolgozott egy sor kiberbiztonsági bevált gyakorlatot a katonai vállalkozók számára az érzékeny adatok védelmére. A DoD kiberbiztonsági érettségi modell tanúsítási programja értelmében a védelmi vállalkozóknak végre kell hajtaniuk ezeket a gyakorlatokat – és tanúsítványt kell szerezniük ezek birtokában – ahhoz, hogy eladhassák a kormánynak. A rossz hír? A program bevezetése késleltetve lett.
