back to top
20.8 C
Athens
Παρασκευή 22 Νοεμβρίου 2024

Βιομηχανική κατασκοπεία σε… δράση

Οι ερευνητές της Kaspersky αποκάλυψαν μια σειρά από εξαιρετικά στοχευμένες επιθέσεις εναντίον βιομηχανικών οργανισμών που χρονολογούνται από το 2018 – πολύ πιο σπάνιες στον κόσμο των απειλητικών φορέων τύπουAPT σε σύγκριση με εκστρατείες εναντίον διπλωματών και άλλων πολιτικών παραγόντων υψηλού προφίλ. Το σετ εργαλείων που χρησιμοποιήθηκε – αρχικά ονομάστηκε MT3 από τους δημιουργούς κακόβουλου λογισμικού – ονομάστηκε από την KasperskyMontysThree“. Χρησιμοποιεί μια ποικιλία τεχνικών για να αποφύγει την ανίχνευση, συμπεριλαμβανομένης της φιλοξενίας των επικοινωνιών του με τον control server σε δημόσιες υπηρεσίες cloudκαι την απόκρυψη της κύριας κακόβουλης λειτουργικής μονάδας χρησιμοποιώντας στεγανογραφία. 

Οι κυβερνητικοί οργανισμοί, οι διπλωμάτες και οι τηλεπικοινωνιακοί φορείς τείνουν να είναι ο προτιμώμενος στόχος για επιθέσεις τύπου APT, δεδομένου ότι αυτά τα άτομα και τα ιδρύματα έχουν στη διάθεσή τους έναν πολύ μεγάλο αριθμό εξαιρετικά εμπιστευτικών και πολιτικά ευαίσθητων πληροφοριών. Πολύ πιο σπάνιες είναι οι στοχευμένες εκστρατείες κατασκοπείας εναντίον βιομηχανικών οργανισμών – αλλά, όπως και άλλες επιθέσεις εναντίον βιομηχανιών, μπορεί να έχουν καταστροφικές συνέπειες για την επιχείρηση. Γι’ αυτό, μόλις παρατήρησαν τη δραστηριότητα του MontysThree, οι ερευνητές της Kaspersky έσπευσαν να την αναφέρουν.

- Advertisement -

Για να πραγματοποιήσει την κατασκοπεία του, το MontysThree αναπτύσσει ένα πρόγραμμα κακόβουλου λογισμικού που αποτελείται από τέσσερις λειτουργίες. Η πρώτη – το loader – αρχικά εξαπλώνεται χρησιμοποιώντας αρχεία RAR SFX(αυτοαποσυμπιεσμένα αρχεία) που περιέχουν ονόματα που σχετίζονται με λίστες επαφών υπαλλήλων, τεχνική τεκμηρίωση και αποτελέσματα ιατρικής ανάλυσης για να εξαπατήσουν τους υπαλλήλους να κατεβάσουν τα αρχεία – μια κοινή τεχνική spearphishing. Το loader είναι κατά κύριο λόγο υπεύθυνο να διασφαλίσει ότι το κακόβουλο λογισμικό δεν εντοπίζεται στο σύστημα. Για να γίνει αυτό, αναπτύσσει μια τεχνική γνωστή ως στεγανογραφία.

Η στεγανογραφία χρησιμοποιείται από τους φορείς για να κρύψει το γεγονός ότι ανταλλάσσονται δεδομένα. Στην περίπτωση του MontysThree, το κύριο κακόβουλο ωφέλιμο φορτίο μεταμφιέζεται ως αρχείο bitmap (μορφή αποθήκευσης ψηφιακών εικόνων). Εάν εισαχθεί η σωστή εντολή, το loader θα χρησιμοποιήσει έναν προσαρμοσμένο αλγόριθμο για να αποκρυπτογραφήσει το περιεχόμενο από τη συστοιχία pixel και να εκτελέσει το κακόβουλο ωφέλιμο φορτίο.

- Advertisement -

Το κύριο κακόβουλο ωφέλιμο φορτίο χρησιμοποιεί αρκετές τεχνικές κρυπτογράφησης για να αποφύγει τον εντοπισμό, δηλαδή τη χρήση ενός αλγορίθμου RSA για την κρυπτογράφηση των επικοινωνιών με τον control server και για την αποκρυπτογράφηση των κύριων «εργασιών» που έχουν εκχωρηθεί από το κακόβουλο λογισμικό. Αυτό περιλαμβάνει την αναζήτηση εγγράφων με συγκεκριμένες επεκτάσεις και σε συγκεκριμένους καταλόγους εταιρειών. Το MontysThree έχει σχεδιαστεί για να στοχεύει συγκεκριμένα έγγραφα Microsoft και Adobe Acrobat. Μπορεί επίσης να συλλάβει στιγμιότυπα οθόνης και “δακτυλικό αποτύπωμα” (δηλαδή να συλλέξει πληροφορίες σχετικά με τις ρυθμίσεις δικτύου, το όνομα κεντρικού υπολογιστή κ.λπ.) του στόχου έτσι ώστε να ελέγξει αν είναι ενδιαφέρων για τους εισβολείς. 

Οι πληροφορίες που συλλέγονται και άλλες επικοινωνίες με τον control server στη συνέχεια φιλοξενούνται σε δημόσιες υπηρεσίες cloud όπως το Google, η Microsoft και το Dropbox. Αυτό καθιστά δύσκολη την ανίχνευση της κίνησης επικοινωνίας ως κακόβουλη, και επειδή κανένα antivirus δεν αποκλείει αυτές τις υπηρεσίες, διασφαλίζει ότι ο control server μπορεί να εκτελεί εντολές χωρίς διακοπή. 

Το MontysThree χρησιμοποιεί επίσης μια απλή μέθοδο για να αποκτήσει επιμονή στο μολυσμένο σύστημα – έναν modifier για το Windows Quick Launch. Οι χρήστες εκτελούν ακούσια την αρχική λειτουργική μονάδα του κακόβουλου λογισμικού κάθε φορά που εκτελούν νόμιμες εφαρμογές, όπως προγράμματα περιήγησης, όταν χρησιμοποιούν την Quick Launch toolbar.

Η Kaspersky δεν μπόρεσε να βρει ομοιότητες στον κακόβουλο κώδικα ή στην υποδομή με γνωστά APT.

«Το MontysThree είναι ενδιαφέρον όχι μόνο λόγω του γεγονότος ότι στοχεύει βιομηχανικούς οργανισμούς, αλλά λόγω του συνδυασμού εξελιγμένων και κάπως “ερασιτεχνικών” τεχνικών, τακτικών και διαδικασιών (TTPs). Γενικά, η πολυπλοκότητα ποικίλλει από λειτουργία σε λειτουργία, αλλά δεν μπορεί να συγκριθεί με το επίπεδο που χρησιμοποιείται από τα πιο προηγμένα APT. Ωστόσο, χρησιμοποιεί ισχυρά κρυπτογραφικά πρότυπα και υπάρχουν πράγματι ορισμένες τεχνολογικές αποφάσεις που έχουν ληφθεί, συμπεριλαμβανομένης της προσαρμοσμένης στεγανογραφίας. Ίσως το πιο σημαντικό, είναι σαφές ότι οι επιτιθέμενοι έχουν καταβάλει σημαντική προσπάθεια για να αναπτύξουν το σετ εργαλείων του MontysThree, υποδηλώνοντας ότι είναι αποφασισμένοι για τους στόχους τους – και ότι δεν πρόκειται να είναι μια βραχύβια εκστρατεία», σχολιάζει ο Denis Legezo, ανώτερος ερευνητής ασφάλειας, Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky.

Περισσότερες πληροφορίες μπορείτε να βρείτε στον ειδικό ιστότοπο Securelist.

Λεπτομερείς πληροφορίες σχετικά με τους Δείκτες Συμβιβασμού που σχετίζονται με αυτήν την ομάδα, συμπεριλαμβανομένων των file hashes, μπορείτε να βρείτε στο Kaspersky Threat Intelligence Portal.   

Προκειμένου να παραμείνετε προστατευμένοι από απειλές όπως το MontysThree, η Kaspersky συνιστά:

  • Παρέχετε στο προσωπικό σας βασική εκπαίδευση για ψηφιακή υγιεινή, καθώς πολλές στοχευμένες επιθέσεις ξεκινούν με phishing ή άλλες τεχνικές κοινωνικής μηχανικής. Πραγματοποιήστε μια προσομοιωμένη επίθεση phishing για να βεβαιωθείτε ότι ξέρουν πώς να διακρίνουν phishing emails.
  • Παρέχετε στην ομάδα SOC σας πρόσβαση στην πιο πρόσφατη Πληροφόρηση για Απειλές. Το Kaspersky Threat Intelligence Portal είναι ένα μοναδικό σημείο πρόσβασης, παρέχοντας δεδομένα και πληροφορίες για ψηφιακές επιθέσεις που έχουν συγκεντρωθεί από την Kaspersky για περισσότερα από 20 χρόνια.
  • Για ανίχνευση επιπέδου τερματικού σημείου, διερεύνηση και έγκαιρη αποκατάσταση περιστατικών, εφαρμόστε λύσεις EDR, όπως το Kaspersky Endpoint Detection and Response.
  • Εκτός από την υιοθέτηση ουσιαστικής προστασίας τερματικού σημείου, εφαρμόστε μια εταιρική λύση ασφάλειας που εντοπίζει προηγμένες απειλές σε επίπεδο δικτύου σε πρώιμο στάδιο, όπως το Kaspersky Anti Targeted Attack Platform.
  • Βεβαιωθείτε ότι προστατεύετε βιομηχανικά τερματικά σημεία καθώς και εταιρικά. Η λύση Kaspersky Industrial CyberSecurity περιλαμβάνει αποκλειστική προστασία για τερματικά σημεία και παρακολούθηση δικτύου για την αποκάλυψη τυχόν ύποπτης και δυνητικά κακόβουλης δραστηριότητας στο βιομηχανικό δίκτυο.

Σχετικές δημοσιεύσεις

Το κόστος των cyber επιθέσεων

Στον σημερινό διασυνδεδεμένο κόσμο, οι κυβερνοεπιθέσεις είναι πιο συχνές και πιο επικίνδυνες από ποτέ. Οι επιχειρήσεις, ανεξάρτητα από το

Συμβουλές για ένα ασφαλές home office

Η εξ αποστάσεως εργασία αποτελεί μια νέα πραγματικότητα για πολλούς επαγγελματίες. Οι εργαζόμενοι, από designers μέχρι λογιστές, συχνά χειρίζονται ευαίσθητες πληροφορίες, γεγονός που παρουσιάζει

Πάνω από δύο κρίσιμα περιστατικά κυβερνοασφάλειας ανά ημέρα το 2023

Η συχνότητα των περιστατικών υψηλής σοβαρότητας με άμεση ανθρώπινη εμπλοκή ξεπέρασε τα δύο ανά ημέρα το 2023, σύμφωνα με την ομάδα Kaspersky Managed Detection

Λιγότερες επιθέσεις DDoS και μικρές γεωγραφικές αλλαγές στο 2ο τρίμηνο του 2021

Το δεύτερο τρίμηνο του 2021, ο συνολικός αριθμός των επιθέσεων DDoS μειώθηκε κατά 38,8% σε σύγκριση με το δεύτερο τρίμηνο του 2020 και κατά 6,5% σε σύγκριση με το προηγούμενο τρίμηνο του 2021.

Από την ίδια κατηγορία δημοσιεύσεων

Ν. Σπυράτος, ERGO: Η ασφαλιστική διείσδυση στις ΜμΕ είναι εξαιρετικά χαμηλή

Στη σύγχρονη, ψηφιακή εποχή, στην οποία η χρήση του Διαδικτύου και των νέων τεχνολογιών αποτελεί αναπόσπαστο κομμάτι της καθημερινής ζωής,

Karavias Underwriting Agency: Αύξηση των ορίων στις εγγυητικές επιστολές

Στόχος της Karavias Underwriting Agency όλα αυτά τα χρόνια, είναι να δημιουργεί και να εξελίσσει καινοτόμα προϊόντα

Έκπτωση 20% για Ασφάλιση Κατοικίας από την Groupama Ασφαλιστική

Με στόχο να απαλλάξει από κάθε έγνοια, τόσο τους ιδιοκτήτες όσο και τους ενοικιαστές ακινήτων, η Groupama Ασφαλιστική προσφέρει έκπτωση 20%

Αυξημένες κατά 25% οι κυβερνοαπειλές στο λιανεμπόριο ενόψει της Black Friday

Το 2024, πραγματοποιήθηκαν πάνω από 38 εκατομμύρια επιθέσεις phishing από εγκληματίες του κυβερνοχώρου, οι οποίοι εμφανίζονταν ως γνωστά καταστήματα

Δημοφιλή Άρθρα

Ροή Ειδήσεων

“Ξεκλειδώνεται” πολύτιμη ρευστότητα για τις επιχειρήσεις , δημιουργώντας ανάπτυξη

Νέα αυξημένα όρια εγγυητικών επιστολών που 'ξεκλειδώνουν' μεγάλη ρευστότητα για τις Μικρομεσαίες επιχειρήσεις λάνσαρε η “Karavias Underwriting Agency

Γ. Χατζηθεοδοσίου: “Σοκ και δέος. Να το δούμε να γίνεται πράξη”

Mε ανακοίνωσή του, ο πρόεδρος του Ε.Ε.Α και Επίτιμος Διδάκτορας ΠΑ.ΠΕΙ. κ. Γιάννης Χατζηθεοδοσίου χαιρέτισε τις ανακοινώσεις διά στόματος πρωθυπουργού

Η ERGO Μεγάλος Χορηγός του ΣΕΓΑΣ και του 41ου Αυθεντικού Μαραθωνίου Αθήνας

Η ERGO Ασφαλιστική, σταθερός υποστηρικτής του ΣΕΓΑΣ και του δρομικού κινήματος από το 2011, έδωσε για μία ακόμα φορά δυναμικό «παρών» στον 41ο Αυθεντικό Μαραθώνιο της Αθήνας

Ν. Σπυράτος, ERGO: Η ασφαλιστική διείσδυση στις ΜμΕ είναι εξαιρετικά χαμηλή

Στη σύγχρονη, ψηφιακή εποχή, στην οποία η χρήση του Διαδικτύου και των νέων τεχνολογιών αποτελεί αναπόσπαστο κομμάτι της καθημερινής ζωής,

Νέα ψηφιακά εργαλεία στη μάχη κατά της φοροδιαφυγής το 2025

Eναρξη λειτουργίας μιας σειράς ψηφιακών εργαλείων με στόχο τον περαιτέρω εκσυγχρονισμό της φορολογικής διοίκησης