INTERNET
ΚΥΜΑ ΕΠΙΘΕΣΕΩΝ ΕΝΑΝΤΙΟΝ ΤΟΥ ΒΙΟΜΗΧΑΝΙΚΟΥ ΚΛΑΔΟΥ
Περιεχόμενα
0

ΚΥΜΑ ΕΠΙΘΕΣΕΩΝ ΕΝΑΝΤΙΟΝ ΤΟΥ ΒΙΟΜΗΧΑΝΙΚΟΥ ΚΛΑΔΟΥ

από TechZoom2 Σεπτεμβρίου 2016

Η Kaspersky Lab ανακάλυψε ένα νέο κύμα στοχευμένων επιθέσεων εναντίον του βιομηχανικού και του μηχανολογικού κλάδου σε πολλές χώρες, ανά τον κόσμο.

Χρησιμοποιώντας μηνύματα spear-phishing και κακόβουλο λογισμικό με βάση ένα εμπορικό spyware kit, οι εγκληματίες προσπαθούν να αποσπάσουν πολύτιμα επιχειρηματικά δεδομένα, που βρίσκονται αποθηκευμένα στα δίκτυα των θυμάτων τους. Συνολικά, πάνω από 130 οργανισμοί από 30 χώρες, μεταξύ των οποίων η Ισπανία, το Πακιστάν, τα Ηνωμένα Αραβικά Εμιράτα, η Ινδία, η Αίγυπτος, το Ηνωμένο Βασίλειο, η Γερμανία, η Σαουδική Αραβία κ.ά., έπεσαν θύματα επιτυχημένων επιθέσεων από την συγκεκριμένη ομάδα.

Ας τα πάρουμε όμως από την αρχή: Τον Ιούνιο του 2016, οι ερευνητές της Kaspersky Lab εντόπισαν ένα κύμα μηνυμάτων spear-phishing, που περιλάμβαναν κακόβουλα συνημμένα αρχεία. Τα μηνύματα αυτά είχαν αποσταλεί κυρίως σε κορυφαία και μεσαία στελέχη πολλών εταιριών. Τα e-mail που στάλθηκαν από τους εισβολείς φαίνονταν να προέρχονται από μια τράπεζα στα Ηνωμένα Αραβικά Εμιράτα, ενώ έμοιαζαν με συμβουλές πληρωμής από την τράπεζα και περιλάμβαναν ένα συνημμένο έγγραφο SWIFT, αλλά στην πραγματικότητα, το συνημμένο αρχείο περιείχε κακόβουλο λογισμικό.

Περαιτέρω έρευνα που διεξήχθη από ερευνητές της Kaspersky Lab έδειξε ότι αυτή η εκστρατεία spear-phishingέχει πιθανότατα οργανωθεί από μία ομάδα ψηφιακών εγκληματιών, που είχε εντοπιστεί για πρώτη φορά από τους ερευνητές της εταιρείας, τον Μάρτιο του 2015.

Το κακόβουλο λογισμικό που βρίσκεται στο συνημμένο αρχείο βασίζεται στο λογισμικό Hawkeye, ένα spyware πρόγραμμα που διατίθεται εμπορικά και πωλείται απροκάλυπτα στο Darkweb. Το συγκεκριμένο πρόγραμμα παρέχει μια ευρεία γκάμα εργαλείων που μπορούν να αξιοποιήσουν οι επιτιθέμενοι. Μετά την εγκατάσταση του, συλλέγει ενδιαφέροντα στοιχεία από τον υπολογιστή του θύματος, συμπεριλαμβανομένων πληκτρολογήσεων, αντιγραμμένων δεδομένων στο clipboard, στοιχείων από FTP server, στοιχείων λογαριασμού από προγράμματα περιήγησης, στοιχείων λογαριασμού από πλατφόρμες άμεσων μηνυμάτων (π.χ. Paltalk, GoogleTalk, AIM), στοιχείων λογαριασμού από εφαρμογές e-mail σε πελάτες (π.χ. Outlook, Windows Live Mail) και πληροφοριών σχετικά με εγκατεστημένες εφαρμογές (π.χ. Microsoft Office).

Στη συνέχεια, αυτά τα δεδομένα αποστέλλονταν στους Command & Control servers του απειλητικού φορέα. Με βάση τις πληροφορίες που προέκυψαν από κάποιες «τρύπες» σε ορισμένους Command & Control servers, η πλειοψηφία των θυμάτων είναι οργανισμοί που δραστηριοποιούνται στους τομείς της βιομηχανίας και της μηχανολογίας, καθώς και εταιρείες από τον ναυτιλιακό, τον φαρμακευτικό, τον κατασκευαστικό, τον εμπορικό και τον εκπαιδευτικό κλάδο, μεταξύ άλλων.

Όλες αυτές οι επιχειρήσεις κατέχουν πολύτιμες πληροφορίες που θα μπορούσαν να πωληθούν στη συνέχεια στη μαύρη αγορά.

Κύριο κίνητρό των εγκληματιών είναι το οικονομικό κέρδος από τις πωλήσεις της κλεμμένης πνευματικής ιδιοκτησίας και επιχειρηματικής πληροφόρησης ή από επιθέσεις στους τραπεζικούς λογαριασμούς των θυμάτων τους. Σε αντίθεση με τους φορείς που επιτίθενται σε κρατικούς οργανισμούς, οι οποίοι επιλέγουν τους στόχους προσεκτικά, αυτή η ομάδα, όπως και άλλες παρόμοιες, μπορούν δυνητικά να επιτεθούν σε κάθε εταιρεία. Ακόμα κι αν χρησιμοποιούν σχετικά απλά κακόβουλα εργαλεία, είναι πολύ αποτελεσματικές στις επιθέσεις τους. Έτσι, οι εταιρείες που δεν είναι προετοιμασμένες για να εντοπίζουν αυτές τις επιθέσεις, δυστυχώς θα υποφέρουν.

Περισσότερες λεπτομέρειες

Περισσότερες πληροφορίες σχετικά με το «Operation Ghoul» είναι διαθέσιμες στον ιστότοπο Securelist.com. Όσοι επιθυμούν να μάθουν περισσότερα για τις στρατηγικές μετριασμού των επιπτώσεων από τέτοιου είδους επιθέσεις, μπορούν να επισκεφθούν το εξειδικευμένο blog της Kaspersky Lab για την ασφάλεια των επιχειρήσεων.

Η πλήρης έκθεση για τις δραστηριότητες του «Operation Ghoul» είναι διαθέσιμη στους πελάτες της υπηρεσίας Kaspersky APT Intelligence Reporting Service.

ghoul_EN

About The Author
TechZoom

Αφήστε μια απάντηση