Một chiến dịch tấn công mạng, có khả năng nghiêng về gián điệp mạng, đang làm nổi bật bản chất ngày càng tinh vi của các mối đe dọa mạng nhắm vào các nhà thầu quốc phòng ở Hoa Kỳ và các nơi khác.
Chiến dịch bí mật mà các nhà nghiên cứu tại Securonix đã phát hiện và đang theo dõi với tên STEEP#MAVERICK, đã tấn công nhiều nhà thầu vũ khí ở châu Âu trong những tháng gần đây, bao gồm cả nhà cung cấp tiềm năng cho chương trình máy bay chiến đấu F-35 Lightning II của Hoa Kỳ.
Điều làm cho chiến dịch trở nên đáng chú ý theo nhà cung cấp bảo mật là sự chú ý tổng thể mà kẻ tấn công đã dành cho hoạt động bảo mật (OpSec) và để đảm bảo phần mềm độc hại của chúng khó phát hiện, khó loại bỏ và khó phân tích.
Công cụ xử lý phần mềm độc hại dựa trên PowerShell được sử dụng trong các cuộc tấn công có “nổi bật với một loạt các chiến thuật thú vị, phương pháp kiên trì, phản điều tra và lớp này đến lớp khác để che giấu mã của nó,” Securonix cho biết trong một báo cáo tuần này.
Khả năng phần mềm độc hại không phổ biến
Chiến dịch STEEP#MAVERICK dường như đã bắt đầu vào cuối mùa hè với các cuộc tấn công vào hai nhà thầu quốc phòng nổi tiếng ở châu Âu. Giống như nhiều chiến dịch, chuỗi tấn công bắt đầu bằng một email lừa đảo có chứa tệp nén (.zip) với tệp lối tắt (.lnk) sang tài liệu PDF có chủ đích mô tả các lợi ích của công ty. Securonix mô tả email lừa đảo tương tự như email mà họ gặp phải trong một chiến dịch hồi đầu năm liên quan đến Nhóm đe dọa APT37 (hay còn gọi là Konni) của Triều Tiên.
Khi tệp .lnk được thực thi, nó sẽ kích hoạt thứ mà Securonix mô tả là “chuỗi các giai đoạn khá lớn và mạnh mẽ”, mỗi giai đoạn được viết bằng PowerShell và có tới tám lớp làm rối mã nguồn. Phần mềm độc hại cũng có các khả năng chống điều tra và gỡ lỗi mở rộng, bao gồm giám sát một danh sách dài các quy trình có thể được sử dụng để tìm kiếm hành vi độc hại. Phần mềm độc hại được thiết kế để vô hiệu hóa tính năng ghi nhật ký và bỏ qua Windows Defender. Nó sử dụng một số kỹ thuật để tồn tại trên hệ thống, bao gồm bằng cách nhúng chính nó vào sổ đăng ký hệ thống, bằng cách nhúng chính nó như một tác vụ đã lên lịch và bằng cách tạo lối tắt khởi động trên hệ thống.
Người phát ngôn của Nhóm nghiên cứu mối đe dọa của Securonix cho biết số lượng và sự đa dạng của các biện pháp kiểm tra chống phân tích và chống giám sát mà phần mềm độc hại thực hiện là bất thường. Vì vậy, cũng có số lượng lớn các lớp làm xáo trộn cho các tải trọng và các nỗ lực của phần mềm độc hại nhằm thay thế hoặc tạo các tải trọng giai đoạn lệnh và kiểm soát (C2) tùy chỉnh mới để đáp lại các nỗ lực phân tích: “Một số kỹ thuật che giấu, chẳng hạn như sử dụng PowerShell get- bí danh để thực hiện [lệnh ghép ngắn biểu thức gọi] rất hiếm khi được nhìn thấy.”
Các hoạt động độc hại được thực hiện theo cách nhận biết OpSec với các loại kiểm tra chống phân tích khác nhau và các nỗ lực trốn tránh trong suốt cuộc tấn công, với nhịp độ hoạt động tương đối cao với các tải trọng tùy chỉnh được đưa vào.
Người phát ngôn cho biết: “Dựa trên các chi tiết của cuộc tấn công, một điểm đáng chú ý đối với các tổ chức khác là chú ý nhiều hơn đến việc giám sát các công cụ bảo mật của bạn”. “Các tổ chức nên đảm bảo các công cụ bảo mật hoạt động như mong đợi và tránh dựa vào một công cụ hoặc công nghệ bảo mật duy nhất để phát hiện các mối đe dọa”.
Mối đe dọa mạng ngày càng tăng
Chiến dịch STEEP#MAVERICK chỉ là chiến dịch mới nhất trong số ngày càng nhiều nhắm mục tiêu vào các nhà thầu và nhà cung cấp quốc phòng trong những năm gần đây. Nhiều chiến dịch trong số này có sự tham gia của các tác nhân được nhà nước hậu thuẫn hoạt động bên ngoài Trung Quốc, Nga, Bắc Triều Tiên và các quốc gia khác.
Chẳng hạn, vào tháng XNUMX, Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã đưa ra cảnh báo về việc các tác nhân do nhà nước Nga bảo trợ nhắm mục tiêu vào cái gọi là các nhà thầu quốc phòng đã được phê duyệt (CDC) trong các cuộc tấn công được thiết kế. để đánh cắp thông tin và công nghệ quốc phòng nhạy cảm của Hoa Kỳ. Cảnh báo của CISA mô tả các cuộc tấn công nhắm vào nhiều CDC, bao gồm cả những người tham gia phát triển hệ thống chiến đấu, công nghệ tình báo và giám sát, phát triển vũ khí và tên lửa, cũng như thiết kế phương tiện chiến đấu và máy bay.
Vào tháng XNUMX, các nhà nghiên cứu tại Palo Alto Networks đã báo cáo về ít nhất XNUMX nhà thầu quốc phòng Hoa Kỳ là mục tiêu trong một chiến dịch phân phối một backdoor không ổ cắm, không ổ cắm được gọi là SockDetour. Các cuộc tấn công là một phần của chiến dịch rộng lớn hơn mà nhà cung cấp bảo mật đã điều tra cùng với Cơ quan An ninh Quốc gia vào năm 2021 liên quan đến một nhóm kiên trì tiên tiến của Trung Quốc. nhắm mục tiêu nhà thầu quốc phòng và các tổ chức trong nhiều lĩnh vực khác.
Nhà thầu quốc phòng: Một phân khúc dễ bị tổn thương
Thêm vào những lo ngại về số lượng ngày càng tăng của các cuộc tấn công mạng là tính dễ bị tổn thương tương đối của nhiều nhà thầu quốc phòng, mặc dù có những bí mật cần được bảo vệ chặt chẽ.
Nghiên cứu gần đây mà Black Kite tiến hành về các hoạt động bảo mật của 100 nhà thầu quốc phòng hàng đầu của Hoa Kỳ cho thấy gần một phần ba (32%) là dễ bị tấn công ransomware. Điều này là do các yếu tố như thông tin xác thực bị rò rỉ hoặc bị xâm phạm cũng như các phương pháp yếu kém trong các lĩnh vực như quản lý thông tin xác thực, bảo mật ứng dụng và Bảo mật Lớp cổng bảo mật/Lớp truyền tải.
XNUMX% số người được hỏi trong báo cáo của Black Kite đã trải qua ít nhất một sự cố liên quan đến thông tin xác thực bị rò rỉ.
Có thể có ánh sáng ở cuối đường hầm: Bộ Quốc phòng Hoa Kỳ, cùng với các bên liên quan trong ngành, đã phát triển một bộ biện pháp thực hành tốt nhất về an ninh mạng để các nhà thầu quân sự sử dụng để bảo vệ dữ liệu nhạy cảm. Theo chương trình Chứng nhận Mô hình trưởng thành về an ninh mạng của DoD, các nhà thầu quốc phòng được yêu cầu triển khai các biện pháp thực hành này - và được chứng nhận là có chúng - để có thể bán cho chính phủ. Các tin xấu? Việc triển khai chương trình đã bị hoãn.
