Το κακόβουλο λογισμικό SnowyAmber αξιοποιείται από Ρώσους κυβερνοκατασκόπους για να επιτεθεί σε οργανισμούς του ΝΑΤΟ και της ΕΕ
Σε πρόσφατες πηγές ειδήσεων για την ασφάλεια στον κυβερνοχώρο, αναφέρθηκε ότι Ρώσοι κυβερνοκατάσκοποι είχαν ξεκινήσει ένα νέο σύνολο εργαλείων κακόβουλου λογισμικού, το οποίο χρησιμοποίησαν για να στοχεύσουν οργανισμούς του ΝΑΤΟ και της Ευρωπαϊκής Ένωσης (ΕΕ). Το σύνολο εργαλείων κακόβουλου λογισμικού έχει βρεθεί ότι είναι ένα εξαιρετικά εξελιγμένο και κρυφό κακόβουλο λογισμικό, ικανό να αποφύγει τον εντοπισμό από το παραδοσιακό λογισμικό προστασίας από ιούς.
Σύμφωνα με την έκθεση, το σύνολο εργαλείων κακόβουλου λογισμικού MontysThree μπορεί να είναι ο ένοχος και χρησιμοποιείται τουλάχιστον από το 2018, με κύριους στόχους τους οργανισμούς του ΝΑΤΟ και της ΕΕ. Οι επιτιθέμενοι λέγεται ότι χρησιμοποίησαν μια ποικιλία τακτικών, συμπεριλαμβανομένων των ηλεκτρονικών μηνυμάτων ηλεκτρονικού "ψαρέματος" (spear-phishing) και των επιθέσεων από το νερό, για να αποκτήσουν πρόσβαση στα δίκτυα-στόχους τους. Επιπλέον, διαπιστώθηκε ότι το ωφέλιμο φορτίο ήταν η απειλή κακόβουλου λογισμικού SNOWYAMBER, η οποία αναφέρθηκε και βρέθηκε τον Οκτώβριο του 2022.
Τι κάνει το SNOWYAMBER;
Μόλις εισέλθει στο δίκτυο-στόχο, το κακόβουλο λογισμικό SNOWYAMBER μπορεί να εκτελέσει ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων, συμπεριλαμβανομένης της κλοπής ευαίσθητων δεδομένων, της παρακολούθησης της κυκλοφορίας του δικτύου, ακόμη και της εκτέλεσης πρόσθετων ωφέλιμων φορτίων κακόβουλου λογισμικού. Το κακόβουλο λογισμικό έχει βρεθεί ότι είναι εξαιρετικά προσαρμόσιμο, με τους εισβολείς να χρησιμοποιούν διαφορετικές τεχνικές και ωφέλιμα φορτία ανάλογα με τον συγκεκριμένο στόχο.
Η έκθεση επισημαίνει επίσης ότι οι εισβολείς πίσω από το σύνολο εργαλείων κακόβουλου λογισμικού MontysThree είναι πιθανό να χρηματοδοτούνται από το κράτος, δεδομένου του επιπέδου πολυπλοκότητας και των πόρων που απαιτούνται για την ανάπτυξη και τη διατήρηση ενός τέτοιου συνόλου εργαλείων. Αν και τα ακριβή κίνητρα των επιτιθέμενων δεν είναι ξεκάθαρα, πιστεύεται ότι ο πρωταρχικός στόχος είναι η συλλογή πληροφοριών και η κλοπή ευαίσθητων δεδομένων χρησιμοποιώντας εργαλεία όπως το SNOWYAMBER.
Συνολικά, η ανακάλυψη της απειλής κακόβουλου λογισμικού SNOWYAMBER υπογραμμίζει τη συνεχιζόμενη στόχευση που τίθεται από την κυβερνοκατασκοπεία που χρηματοδοτείται από το κράτος. Καθώς οι εισβολείς συνεχίζουν να αναπτύσσουν όλο και πιο εξελιγμένα και κρυφά σύνολα εργαλείων κακόβουλου λογισμικού, είναι σημαντικό για τους οργανισμούς να παραμείνουν σε επαγρύπνηση και να λαμβάνουν προληπτικά μέτρα για την προστασία των δικτύων και των ευαίσθητων δεδομένων τους.
Οι χρήστες υπολογιστών πρέπει επίσης να προσέχουν την απειλή κακόβουλου λογισμικού SNOWYAMBER, καθώς θα μπορούσε να αξιοποιηθεί με τρόπο ώστε να χτυπήσει ένα σύστημα και να κατεβάσουν τις κακόβουλες οδηγίες του από έναν διακομιστή εντολών και ελέγχου. Υπάρχει επίσης κάποια σχέση με την ομάδα APT29 που ήταν γνωστό ότι είχε τις ρίζες της από τη Ρωσία και έχει συσχετισμούς με τις ομάδες που ονομάζονται Cozy Bear, Cozy Duke, Dukes και Office Monkeys.
