Una campagna di attacchi informatici, potenzialmente finalizzata allo spionaggio informatico, sta evidenziando la natura sempre più sofisticata delle minacce informatiche rivolte agli appaltatori della difesa negli Stati Uniti e altrove.
La campagna segreta, che i ricercatori di Securonix hanno rilevato e stanno monitorando come STEEP#MAVERICK, ha colpito diversi appaltatori di armi in Europa negli ultimi mesi, incluso potenzialmente un fornitore del programma di aerei da caccia F-35 Lightning II degli Stati Uniti.
Ciò che rende la campagna degna di nota secondo il fornitore di sicurezza è l’attenzione generale che l’aggressore ha prestato alla sicurezza delle operazioni (OpSec) e a garantire che il malware sia difficile da rilevare, difficile da rimuovere e difficile da analizzare.
Lo stager di malware basato su PowerShell utilizzato negli attacchi ha "presentava una serie di tattiche interessanti, metodologia di persistenza, contro-forense e strati su strati di offuscamento per nascondere il suo codice", ha affermato Securonix in un rapporto questa settimana.
Funzionalità malware non comuni
Sembra che la campagna STEEP#MAVERICK sia stata lanciata alla fine dell'estate con attacchi a due appaltatori della difesa di alto profilo in Europa. Come molte campagne, la catena di attacco è iniziata con un'e-mail di spear phishing che conteneva un file compresso (.zip) con un file di collegamento (.lnk) a un documento PDF che presumibilmente descriveva i vantaggi aziendali. Securonix ha descritto l'e-mail di phishing come simile a quella incontrata in una campagna all'inizio di quest'anno Il gruppo minaccioso APT37 (noto anche come Konni) della Corea del Nord.
Quando il file .lnk viene eseguito, attiva quella che Securonix ha descritto come una “catena di stager piuttosto ampia e robusta”, ciascuno scritto in PowerShell e dotato di un massimo di otto livelli di offuscamento. Il malware dispone inoltre di estese funzionalità anti-forense e di contro-debug che includono il monitoraggio di un lungo elenco di processi che potrebbero essere utilizzati per cercare comportamenti dannosi. Il malware è progettato per disabilitare la registrazione e aggirare Windows Defender. Utilizza diverse tecniche per persistere su un sistema, incluso incorporandosi nel registro di sistema, incorporandosi come attività pianificata e creando un collegamento di avvio nel sistema.
Un portavoce del Threat Research Team di Securonix afferma che il numero e la varietà dei controlli anti-analisi e anti-monitoraggio di cui dispone il malware è insolito. Lo stesso vale per il gran numero di livelli di offuscamento per i payload e i tentativi del malware di sostituire o generare nuovi payload stager di comando e controllo (C2) personalizzati in risposta ai tentativi di analisi: "Alcune tecniche di offuscamento, come l'utilizzo di PowerShell get- gli alias per eseguire [il cmdlet invoke-expression] si vedono molto raramente."
Le attività dannose sono state eseguite in modo OpSec-aware con diversi tipi di controlli anti-analisi e tentativi di evasione durante l'attacco, a un ritmo operativo relativamente elevato con l'inserimento di payload personalizzati.
"Sulla base dei dettagli dell'attacco, una conclusione per altre organizzazioni è prestare particolare attenzione al monitoraggio dei propri strumenti di sicurezza", afferma il portavoce. “Le organizzazioni dovrebbero garantire che gli strumenti di sicurezza funzionino come previsto ed evitare di fare affidamento su un singolo strumento o tecnologia di sicurezza per rilevare le minacce”.
Una minaccia informatica in crescita
La campagna STEEP#MAVERICK è solo l’ultima di una serie crescente che ha preso di mira appaltatori e fornitori della difesa negli ultimi anni. Molte di queste campagne hanno coinvolto attori sostenuti dallo Stato che operano da Cina, Russia, Corea del Nord e altri paesi.
A gennaio, ad esempio, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha lanciato un allarme contro gli attori sponsorizzati dallo Stato russo che prendono di mira i cosiddetti appaltatori della difesa autorizzati (CDC) in attacchi progettati per rubare informazioni e tecnologie sensibili sulla difesa degli Stati Uniti. L’allarme CISA descriveva gli attacchi come mirati a un’ampia fascia di CDC, compresi quelli coinvolti nello sviluppo di sistemi di combattimento, tecnologie di intelligence e sorveglianza, sviluppo di armi e missili e progettazione di veicoli da combattimento e aerei.
A febbraio, i ricercatori di Palo Alto Networks hanno riferito di almeno quattro appaltatori della difesa statunitense presi di mira in una campagna di distribuzione una backdoor senza file e senza socket chiamata SockDetour. Gli attacchi facevano parte di una campagna più ampia su cui il fornitore di sicurezza aveva indagato insieme alla National Security Agency nel 2021, coinvolgendo un gruppo persistente avanzato cinese che appaltatori della difesa mirati e organizzazioni in molti altri settori.
Appaltatori della difesa: un segmento vulnerabile
Alle preoccupazioni per il crescente volume di attacchi informatici si aggiunge la relativa vulnerabilità di molti appaltatori della difesa, nonostante abbiano segreti che dovrebbero essere attentamente custoditi.
Una recente ricerca condotta da Black Kite sulle pratiche di sicurezza dei 100 principali appaltatori della difesa statunitense ha mostrato che quasi un terzo (32%) sono vulnerabile agli attacchi ransomware. Ciò è dovuto a fattori quali credenziali trapelate o compromesse e a pratiche deboli in aree quali la gestione delle credenziali, la sicurezza delle applicazioni e la sicurezza Security Sockets Layer/Transport Layer.
Il 72% degli intervistati nel rapporto Black Kite ha subito almeno un incidente che coinvolgeva la fuga di credenziali.
Potrebbe esserci la luce alla fine del tunnel: il Dipartimento della Difesa degli Stati Uniti, in collaborazione con le parti interessate del settore, ha sviluppato una serie di migliori pratiche di sicurezza informatica che gli appaltatori militari possono utilizzare per proteggere i dati sensibili. Nell’ambito del programma di certificazione del modello di maturità della sicurezza informatica del Dipartimento della Difesa, gli appaltatori della difesa sono tenuti a implementare queste pratiche – e ottenere la certificazione per poterle vendere al governo. La brutta notizia? Il lancio del programma è stato ritardato.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
