Οι ερευνητές αποκαλύπτουν το Capmaign μακροπρόθεσμης κυβερνο-κατασκοπείας

Οι ερευνητές ασφαλείας πρόσφατα αποκάλυψαν πληροφορίες σχετικά με μια μακροπρόθεσμη εκστρατεία κατασκοπείας στον κυβερνοχώρο που στοχεύει εταιρείες βιομηχανίας καυσίμων σε όλο τον κόσμο. Η εκστρατεία επικεντρώθηκε στην αποφυγή μακροπρόθεσμης ανίχνευσης και στη φύτευση trojan απομακρυσμένης πρόσβασης στα δίκτυα των θυμάτων με σκοπό τη διαρκή αποβολή δεδομένων και την κατασκοπεία.

Οι ερευνητές με την εταιρεία ασφαλείας Intezer αποκάλυψαν ότι οι κακοί ηθοποιοί χρησιμοποιούν στενά στοχευμένες καμπάνιες ηλεκτρονικού ψαρέματος ηλεκτρονικού ψαρέματος (phear-phishing) που μεταφέρουν απομακρυσμένη πρόσβαση σε trojan payload ως κακόβουλα συνημμένα. Το εύρος του κακόβουλου λογισμικού RAT που χρησιμοποιήθηκε στην καμπάνια ποικίλλει σημαντικά και περιλαμβάνει διαβόητα ονόματα όπως Agent Tesla, Loki και AZORult. Αυτά τα εργαλεία έχουν τη δυνατότητα να κλέβουν ευαίσθητες πληροφορίες και συνδέσεις προγράμματος περιήγησης, αλλά και να καταγράφουν πατήματα πλήκτρων.

Η εκστρατεία επικεντρώνεται σχεδόν αποκλειστικά σε εταιρείες πετρελαίου και φυσικού αερίου, αλλά υπάρχουν μερικοί στοχευμένοι ακροδέκτες που δραστηριοποιούνται στον τομέα της πληροφορικής και των μέσων μαζικής ενημέρωσης. Περιέργως, η πλειονότητα των στοχευόμενων εταιρειών βρίσκονται στη Νότια Κορέα, με άλλους στόχους σε ολόκληρο τον κόσμο, συμπεριλαμβανομένης της Ευρώπης και των ΗΠΑ, καθώς και τα Ηνωμένα Αραβικά Εμιράτα.

Οι ερευνητές σημείωσαν επίσης ότι ένας από τους στόχους της κακόβουλης καμπάνιας ήταν σημαντικά διαφορετικός από τους υπόλοιπους. Το περίεργο που ονομάζεται FEBC και είναι ένας φορέας ραδιοφωνικής μετάδοσης που βρίσκεται στη Νότια Κορέα, ο οποίος σύμφωνα με τους ερευνητές του Intezer επιδιώκει να «ανατρέψει τη θρησκευτική απαγόρευση» στον βόρειο γείτονα της χώρας.

Τα ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (phear-phishing) χρησιμοποιούν πλαστογραφημένα πεδία αποστολέα και είναι φτιαγμένα έτσι ώστε να προέρχονται από διευθύνσεις και εταιρείες που θα ήταν γνωστές στα θύματα. Ορισμένα από τα μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιούσαν τυπογραφικούς τομείς - έναν τομέα που έχει έναν μόνο χαρακτήρα διαφορετικό από τον νόμιμο, για παράδειγμα μια κουκκίδα που αντικαταστάθηκε με μια παύλα ή ένα "L" με ένα 1.

Το σώμα των κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου συνήθως περιέχει μια νόμιμη επιχειρηματική προσφορά. Τα ωφέλιμα φορτία περιέχονται σε πλαστά αρχεία PDF που είναι πραγματικά αρχεία .cab ή .iso εικόνες. Ο Intezer επεσήμανε επίσης ότι το ωφέλιμο φορτίο αναπτύσσεται χρησιμοποιώντας τεχνικές χωρίς αρχεία, αναπτύσσοντας απευθείας στη μνήμη του συστήματος χωρίς να αφήνει αρχεία στον σκληρό δίσκο που ενδέχεται να αυξήσουν τις πιθανές άμυνες.

Ο Intezer επεσήμανε επίσης ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου ήταν ιδιαίτερα καλοσχεδιασμένα όσον αφορά τη μορφοποίηση και έχει ληφθεί μεγάλη προσοχή ώστε να φαίνονται σαν νόμιμη επιχειρηματική αλληλογραφία. Υπάρχουν πολλές μικρές λεπτομέρειες στο κείμενο αυτών των μηνυμάτων ηλεκτρονικού ταχυδρομείου που υποδηλώνουν ότι ο απειλητικός ηθοποιός πίσω από αυτό δεν είναι ερασιτέχνης και έχει πολύ καλή αντίληψη για το πώς φαίνεται η νόμιμη, υψηλού προφίλ επιχειρηματική αλληλογραφία.