Wyrafinowana kampania tajnych cyberataków skierowana jest do wykonawców wojskowych

Kampania cyberataków, potencjalnie nastawiona na cyberszpiegostwo, uwydatnia coraz bardziej wyrafinowany charakter cyberzagrożeń wymierzonych w dostawców usług obronnych w USA i innych krajach.

Tajna kampania, którą badacze z Securonix wykryli i śledzą jako STEEP#MAVERICK, w ostatnich miesiącach uderzyła w wielu dostawców broni w Europie, w tym potencjalnego dostawcę amerykańskiego programu myśliwców F-35 Lightning II.

Zdaniem dostawcy zabezpieczeń kampania jest godna uwagi, ponieważ osoba atakująca poświęciła bezpieczeństwu operacji (OpSec) oraz zapewnieniu, że złośliwe oprogramowanie będzie trudne do wykrycia, usunięcia i trudne do analizy. 

Wykorzystywany w atakach moduł szkodliwego oprogramowania oparty na programie PowerShell ma „przedstawił szereg ciekawych taktyk, metodologia trwałości, kryminalistyka i kolejne warstwy zaciemniania mające na celu ukrycie kodu” – stwierdził Securonix w raporcie z tego tygodnia.

Nietypowe możliwości złośliwego oprogramowania

Wygląda na to, że kampania STEEP#MAVERICK rozpoczęła się późnym latem atakami na dwóch znanych wykonawców z branży obronnej w Europie. Podobnie jak w przypadku wielu kampanii, łańcuch ataków rozpoczął się od wiadomości e-mail typu spear-phishing, zawierającej skompresowany plik (.zip) ze skrótem (.lnk) do dokumentu PDF rzekomo opisującego korzyści firmy. Securonix opisał wiadomość phishingową jako podobną do tej, którą napotkał w kampanii na początku tego roku Koreańska grupa zagrażająca APT37 (znana również jako Konni)..

Kiedy plik .lnk jest wykonywany, uruchamia to, co Securonix określił jako „raczej duży i solidny łańcuch stagerów”, każdy napisany w PowerShell i zawierający aż osiem warstw zaciemniających. Szkodnik posiada również rozbudowane funkcje antykryminalistyczne i przeciwdziałające debugowaniu, które obejmują monitorowanie długiej listy procesów, które można wykorzystać do wyszukiwania złośliwego zachowania. Celem szkodliwego oprogramowania jest wyłączenie rejestrowania i ominięcie programu Windows Defender. Wykorzystuje kilka technik, aby utrzymać się w systemie, w tym osadzając się w rejestrze systemu, osadzając się jako zaplanowane zadanie i tworząc skrót startowy w systemie.

Rzecznik zespołu ds. badania zagrożeń firmy Securonix twierdzi, że liczba i różnorodność zabezpieczeń antyanalizacyjnych i antymonitorujących stosowanych w złośliwym oprogramowaniu jest niezwykła. Podobnie jest z dużą liczbą warstw zaciemniających dla ładunków i próbami złośliwego oprogramowania zastąpienia lub wygenerowania nowych, niestandardowych ładunków typu stager dowodzenia i kontroli (C2) w odpowiedzi na próby analizy: „Niektóre techniki zaciemniania, takie jak użycie programu PowerShell get- alias do wykonania [polecenie cmdlet invoke-expression] są bardzo rzadko spotykane.”

Szkodliwe działania były przeprowadzane w sposób uwzględniający OpSec, z różnymi rodzajami kontroli antyanalitycznych i próbami uników w trakcie ataku, w stosunkowo szybkim tempie operacyjnym, z wstrzykiwaniem niestandardowych ładunków. 

„Ze szczegółów ataku wynika, że ​​inne organizacje zwracają szczególną uwagę na monitorowanie narzędzi bezpieczeństwa” – mówi rzecznik. „Organizacje powinny zadbać o to, aby narzędzia bezpieczeństwa działały zgodnie z oczekiwaniami i unikać polegania na jednym narzędziu lub technologii bezpieczeństwa w celu wykrywania zagrożeń”.

Rosnące zagrożenie cybernetyczne

Kampania STEEP#MAVERICK jest najnowszą z rosnącej w ostatnich latach kampanii skierowanej do wykonawców i dostawców z branży obronnej. W wielu z tych kampanii zaangażowane były podmioty wspierane przez państwo, działające z Chin, Rosji, Korei Północnej i innych krajów. 

Na przykład w styczniu amerykańska Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) wydała ostrzeżenie przed sponsorowanymi przez rosyjskie państwo podmiotami, których celem są tzw. do kradzieży poufnych informacji i technologii związanych z obronnością Stanów Zjednoczonych. W ostrzeżeniu CISA ataki były wymierzone w szeroką gamę CDC, w tym te zaangażowane w opracowywanie systemów bojowych, technologie wywiadowcze i obserwacyjne, rozwój broni i rakiet oraz projektowanie pojazdów bojowych i samolotów.

W lutym badacze z Palo Alto Networks zgłosili, że co najmniej czterech amerykańskich wykonawców z branży obronnej stało się celem kampanii dystrybucyjnej bezplikowego i pozbawionego gniazd backdoora o nazwie SockDetour. Ataki były częścią szerszej kampanii, którą dostawca zabezpieczeń prowadził wspólnie z Agencją Bezpieczeństwa Narodowego w 2021 r., w której uczestniczyła chińska zaawansowana, trwała grupa, która ukierunkowanych wykonawców w dziedzinie obronności i organizacje z wielu innych sektorów.

Wykonawcy z branży obronnej: segment wrażliwy

Do obaw związanych z rosnącą liczbą cyberataków zwiększa się względna bezbronność wielu wykonawców z branży obronnej, pomimo posiadania tajemnic, które powinny być ściśle strzeżone. 

Niedawne badanie przeprowadzone przez firmę Black Kite na temat praktyk w zakresie bezpieczeństwa 100 największych amerykańskich wykonawców kontraktów w dziedzinie obronności wykazało, że prawie jedna trzecia (32%) podatne na ataki ransomware. Dzieje się tak z powodu takich czynników, jak wyciek lub naruszenie poświadczeń oraz słabe praktyki w obszarach takich jak zarządzanie poświadczeniami, bezpieczeństwo aplikacji i bezpieczeństwo warstwy gniazd/transportu. 

Siedemdziesiąt dwa procent respondentów raportu Black Kite doświadczyło co najmniej jednego incydentu związanego z wyciekiem danych uwierzytelniających.

Może pojawić się światełko w tunelu: Departament Obrony Stanów Zjednoczonych we współpracy z zainteresowanymi stronami z branży opracował zestaw najlepszych praktyk w zakresie cyberbezpieczeństwa, które wykonawcy wojskowi mogą stosować w celu ochrony wrażliwych danych. W ramach programu certyfikacji modelu dojrzałości cyberbezpieczeństwa Departamentu Obrony wykonawcy z branży obronnej są zobowiązani do wdrożenia tych praktyk i uzyskania certyfikatu potwierdzającego ich posiadanie, aby móc sprzedawać produkty rządowi. Złe wiadomości? Wdrożenie programu zostało opóźnione.