Οι CryptoCore Hackers στοχεύουν λογαριασμούς στη διαχείριση κωδικών πρόσβασης
Χθες, η εταιρεία κυβερνοασφάλειας ClearSky δημοσίευσε μια αναφορά για μια ομάδα πειρατείας που ονομάζεται CryptoCore. Επίσης γνωστό ως Dangerous Password and Leery Turtle, η συμμορία βρίσκεται στην Ανατολική Ευρώπη και οι ενέργειές της έχουν ακολουθηθεί και από άλλα ρούχα ασφαλείας. Ωστόσο, οι ειδικοί της ClearSky εκτιμούν ότι οι λειτουργίες της CryptoCore είναι πολύ μεγαλύτερες από τις αρχικές εκτιμήσεις. Πιστεύουν ότι από τον Μάιο του 2018, το πλήρωμα κατάφερε να συγκεντρώσει παράνομα κέρδη 200 εκατομμυρίων δολαρίων. Η χθεσινή έκθεση ρίχνει φως στο πώς κατάφερε να το κάνει.
Table of Contents
Η αναγνώριση
Τα θύματα της CryptoCore είναι σχεδόν αποκλειστικά ανταλλαγές κρυπτονομισμάτων και εταιρείες που συνεργάζονται μαζί τους. Πριν εκτελέσουν την πραγματική επίθεση, οι χάκερ περνούν μια μακρά διαδικασία αναγνώρισης, η οποία συνίσταται στον εντοπισμό των υψηλού επιπέδου υπαλλήλων που θα στοχεύσουν, συγκεντρώνοντας όσο το δυνατόν περισσότερη νοημοσύνη για αυτούς και, σε ορισμένες περιπτώσεις, θέτοντας σε κίνδυνο τους προσωπικούς τους λογαριασμούς email .
Σύμφωνα με το ClearSky, οι επιθέσεις σε προσωπικά μηνύματα ηλεκτρονικού ταχυδρομείου είναι ευκολότερες, αλλά το πιο σημαντικό, παρέχουν μια εξαιρετική πηγή πληροφοριών και μπορούν να βοηθήσουν τους χάκερ να θέσουν σε κίνδυνο τα εταιρικά εισερχόμενα του στόχου. Η πραγματική αλυσίδα επίθεσης είναι ένα μείγμα αποδεδειγμένων τεχνικών και νέων, καινοτόμων τεχνών που, εάν οι εκτιμήσεις του ClearSky για τα κέρδη των 200 εκατομμυρίων δολαρίων είναι σωστές, λειτουργούν σαφώς αρκετά καλά.
Η κοινωνική μηχανική
Οι επιθέσεις ξεκινούν με ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (phearphishing) που ποικίλλουν ως προς την πολυπλοκότητά τους. Σε ορισμένες περιπτώσεις, τα μηνύματα είναι μάλλον ύποπτα, και σε άλλες, απαγορεύοντας το περίεργο κόμμα, είναι σχεδόν τέλειο τόσο όσον αφορά τη γραμματική όσο και την κοινωνική μηχανική.
Στις περισσότερες επιθέσεις, τα στελέχη της ανταλλαγής κρυπτονομισμάτων λένε ότι κάνοντας κλικ σε έναν σύνδεσμο, θα έχουν πρόσβαση σε ένα σημαντικό έγγραφο που σχετίζεται με την εργασία. Το CryptoCore κάνει μεγάλη χρήση ονομάτων τομέα που μοιάζουν με δημοφιλείς διαδικτυακές πλατφόρμες όπως το Google Drive και σε ορισμένες από τις επιθέσεις, οι χάκερ χρησιμοποιούν HTML για να κρύψουν τις κακόβουλες διευθύνσεις URL πίσω από νόμιμους συνδέσμους. Οι χάκερ έχουν χρησιμοποιήσει επίσης υπηρεσίες συντόμευσης διευθύνσεων URL όχι μόνο επειδή θα μπορούσαν να τους βοηθήσουν να αποφύγουν τον εντοπισμό, αλλά και επειδή τους δίνουν μια ιδέα για το πόσα θύματα εμπίπτουν στο πρόγραμμα.
Στόχοι που κάνουν κλικ μέσω λήψης αρχείου με δύο αρχεία. Το πρώτο είναι ένα αρχείο PDF, DOCX ή XLSX που προστατεύεται με κωδικό πρόσβασης, το οποίο υποτίθεται ότι είναι το έγγραφο που σχετίζεται με την εργασία που αναφέρεται στο σώμα του email. Το θύμα πιστεύεται ότι ο κωδικός πρόσβασης που τον ξεκλειδώνει αποθηκεύεται στο "password.txt" - το δεύτερο αρχείο στο αρχείο.
Ωστόσο, οι πιο προσεκτικοί παραλήπτες ενδέχεται να παρατηρήσουν ότι το αρχείο password.txt έχει πραγματικά διπλή επέκταση. Το πλήρες όνομά του είναι "password.txt.lnk" και εκεί ξεκινά η πραγματική επίθεση.
Η επίθεση
Τα αρχεία LNK είναι κανονικές συντομεύσεις των Windows και έχουν χρησιμοποιηθεί και από άλλες συμμορίες στον κυβερνοχώρο. Το αρχείο LNK του CryptoCore συνδέεται με ένα κακόβουλο κώδικα VBS που συνδέεται με τον διακομιστή Command and Control (C&C) και προχωρά στο επόμενο στάδιο της επίθεσης. Για να διασφαλιστεί ότι το θύμα δεν είναι σοφότερο, το σενάριο κατεβάζει και ανοίγει ένα αρχείο TXT που περιέχει ό, τι μοιάζει με τον υποσχεμένο κωδικό πρόσβασης.
Στο παρασκήνιο, ωστόσο, κατεβάζει και αποθηκεύει το ωφέλιμο φορτίο στο φάκελο% temp% και τοποθετεί ένα άλλο αρχείο VBS στον κατάλογο εκκίνησης προκειμένου να διασφαλίσει ότι το κακόβουλο λογισμικό ξεκινά κάθε φορά που ξεκινά ο υπολογιστής.
Η ληστεία
Όπως αναφέραμε ήδη, οι επιθέσεις της CryptoCore στοχεύουν βασικούς υπαλλήλους των ανταλλαγών κρυπτογράφησης, πράγμα που σημαίνει ότι οι απλοί χρήστες δεν είναι πιθανό να επηρεαστούν από τη συγκεκριμένη καμπάνια. Αυτό δεν σημαίνει ότι οι άνθρωποι δεν πρέπει να το προσέχουν.
Οι ειδικοί του ClearSky δεν ονόμασαν τα συγκεκριμένα εργαλεία που χρησιμοποιήθηκαν στις επιθέσεις του CryptoCore, αλλά είπαν ότι οι εγκληματίες του κυβερνοχώρου ακολουθούν τους λογαριασμούς διαχειριστή κωδικών πρόσβασης των θυμάτων. Εκεί, οι χάκερ βρίσκουν τις πληροφορίες που χρειάζονται για να ανακατευθύνουν ψηφιακά νομίσματα αξίας εκατομμυρίων από τα ενεργά πορτοφόλια του χρηματιστηρίου σε διευθύνσεις που ελέγχονται από αυτούς.
Οι πραγματικοί μηχανισμοί παραβίασης παραμένουν άγνωστοι και δεν υπάρχουν πληροφορίες σχετικά με το εάν στοχεύονται συγκεκριμένες εφαρμογές διαχείρισης κωδικού πρόσβασης. Η κλεμμένη κρυπτογράφηση αποδεικνύει, ωστόσο, ότι οι επιθέσεις ήταν επιτυχείς, κάτι που θα μπορούσε να προκαλέσει υποψίες απέναντι στους διαχειριστές κωδικών πρόσβασης σε ορισμένους χρήστες. Θα ήταν εντελώς αδικαιολόγητο.
Οι διαχειριστές κωδικών πρόσβασης είναι τα καλύτερα εργαλεία για την οργάνωση και την αποθήκευση δεδομένων σύνδεσης και δεν πρέπει να υπάρχει αμφιβολία για αυτό. Δυστυχώς, ακόμη και η άμυνα ενός διαχειριστή κωδικών πρόσβασης μπορεί να αποδυναμωθεί από την κακή υγιεινή της ασφάλειας στον κυβερνοχώρο από την πλευρά του χρήστη. Οι άνθρωποι πρέπει να θυμούνται ότι ο κύριος κωδικός τους πρέπει να είναι ισχυρός, μακρύς και κρίσιμος, μοναδικός και πρέπει να επωφεληθούν από πρόσθετα χαρακτηριστικά ασφαλείας, όπως έλεγχο ταυτότητας δύο παραγόντων που προσφέρουν ορισμένοι διαχειριστές κωδικών πρόσβασης. Μπορεί να μην έχουμε τις τεχνικές λεπτομέρειες σχετικά με τις επιθέσεις του CryptoCore, αλλά γνωρίζουμε ότι εξαρτώνται όλοι από τον χρήστη που κάνει κλικ σε έναν σύνδεσμο σε ένα email, κάτι που δείχνει ότι είναι καιρός να αρχίσουν όλοι να αντιμετωπίζουν τα μηνύματα στα εισερχόμενά τους με μια υγιή δόση υποψίας.
