Επιθέσεις hacking που χρηματοδοτούνται από το κράτος: Ποιες είναι οι προηγμένες επίμονες απειλές και σε ποιον στόχευαν το 2022;

Το 2022, σημειώθηκε αξιοσημείωτη αύξηση των κυβερνητικών επιθέσεων στον κυβερνοχώρο. Πολλές από αυτές τις επιθέσεις πραγματοποιήθηκαν από αυτό που αναφέρεται ως Προηγμένες Επίμονες Απειλές ή APT. Αυτές οι ομάδες συνεργάζονται με κυβερνήσεις και μπορούν επίσης να πραγματοποιούν παράνομες δραστηριότητες κερδοσκοπικού χαρακτήρα.

Το 2022 ξένες οντότητες επιτίθενται σε άλλες ξένες οντότητες σε επιθέσεις DDoS, κατασκοπευτικές επιχειρήσεις, επιθέσεις ransomware και παραβιάσεις κρίσιμων υποδομών. Αυτές οι επιθέσεις προκάλεσαν μεγάλες διακοπές της εφοδιαστικής αλυσίδας, ζημιές δισεκατομμυρίων δολαρίων και συγκέντρωσαν όγκους πληροφοριών ως μέρος των επιχειρήσεων κατασκοπείας.

Με το βλέμμα στο τι μπορεί να αντιμετωπίσει ο κόσμος το 2023, ακολουθούν 5 καταστροφικές επιθέσεις APT που έλαβαν χώρα το 2022:

Το APT 41/Double Dragon της Κίνας κλέβει 20 εκατομμύρια δολάρια σε Ταμεία Αρωγής για τον COVID

Το 2022, μια από τις πιο συγκλονιστικές επιθέσεις APT πραγματοποιήθηκε από μια ομάδα γνωστή ως APT 41 ή Double Dragon . Αυτή η ομάδα κατάφερε να κλέψει περίπου 20 εκατομμύρια δολάρια κεφάλαια ανακούφισης για τον COVID από πολλές χώρες στην Ασία και την Αφρική. Η επίθεση στόχευε συγκεκριμένα τράπεζες, κυβερνητικές υπηρεσίες και άλλους οργανισμούς που μοίραζαν χρήματα βοήθειας κατά τη διάρκεια της πανδημίας. Πιστεύεται ότι τα κλεμμένα χρήματα ξεπλύθηκαν μέσω πορτοφολιών κρυπτονομισμάτων, γεγονός που καθιστά δύσκολο τον εντοπισμό και την ανάκτηση.

Η δήλωση της Μυστικής Υπηρεσίας ανέφερε ότι η APT41, η οποία δραστηριοποιείται για πάνω από μια δεκαετία, θεωρείται μια κινεζική ομάδα απειλών στον κυβερνοχώρο που χρηματοδοτείται από το κράτος, με υψηλή ικανότητα στην εκτέλεση αποστολών κατασκοπείας και οικονομικών εγκλημάτων για προσωπικό όφελος. Εμπειρογνώμονες στον κυβερνοχώρο και νυν και πρώην αξιωματούχοι πολλών υπηρεσιών έχουν αναγνωρίσει το APT41 ως το «εργατικό δυναμικό» των επιχειρήσεων κυβερνοκατασκοπείας που ωφελούν την κινεζική κυβέρνηση. Καθώς τα ταμεία αρωγής για τον COVID αναδείχθηκαν ως στόχος ευκαιρίας το 2020, αυτή η απειλή έγινε πιο επίκαιρη από ποτέ.

Το Rampant Kitten/APT DEV-0270 του Ιράν θέτει σε κίνδυνο το Συμβούλιο Προστασίας Συστημάτων Αξιοκρατίας των ΗΠΑ

Τον Νοέμβριο, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) και το Ομοσπονδιακό Γραφείο Ερευνών (FBI) εξέδωσαν μια κοινή συμβουλευτική για την ασφάλεια στον κυβερνοχώρο σχετικά με τις προηγμένες επίμονες απειλές του Ιράν (APTs). Ο ηθοποιός απειλών, που ονομάζεται Rampant Kitten , εκμεταλλεύτηκε μια γνωστή ευπάθεια Log4Shell για να διεισδύσει σε έναν διακομιστή VMware Horizon τον Φεβρουάριο.

Αυτό είχε ως αποτέλεσμα τον συμβιβασμό ενός ομοσπονδιακού δικτύου που ανήκει στο Συμβούλιο Προστασίας Συστημάτων Αξιοκρατίας των ΗΠΑ. Σε απάντηση, η CISA έχει προειδοποιήσει όλους τους οργανισμούς που απέτυχαν να εφαρμόσουν διορθώσεις Log4Shell έναντι πιθανών δεικτών συμβιβασμού. Η Washington Post προσδιόρισε την πληγείσα υπηρεσία ως το Συμβούλιο Προστασίας Συστημάτων Αξιοκρατίας των ΗΠΑ. Αυτοί οι τύποι επιθέσεων υπογραμμίζουν την ανάγκη για συνεχή επαγρύπνηση και προληπτικές προσπάθειες τόσο από τις επιχειρήσεις όσο και από τις κυβερνήσεις για τη διασφάλιση της υποδομής ζωτικής σημασίας.

Ο Όμιλος Lazarus της Βόρειας Κορέας/ Κρυπτονόμισμα στόχου APT38

Τον Απρίλιο, μια κοινή Συμβουλευτική για την Κυβερνοασφάλεια (CSA) που εκδόθηκε από το Ομοσπονδιακό Γραφείο Ερευνών (FBI), την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) και το Υπουργείο Οικονομικών των ΗΠΑ (Υπουργείο Οικονομικών) προειδοποίησε για απειλή στον κυβερνοχώρο που σχετίζεται με κλοπές κρυπτονομισμάτων από τη North Ομάδα προηγμένης επίμονης απειλής (APT) που χρηματοδοτείται από το κράτος, γνωστή ως Lazarus Group, APT38, BlueNoroff και Stardust Chollima.

Τουλάχιστον από το 2020, αυτή η ομάδα στοχεύει οργανισμούς της τεχνολογίας blockchain και της βιομηχανίας κρυπτονομισμάτων, όπως ανταλλακτήρια κρυπτονομισμάτων, πρωτόκολλα DeFi, βιντεοπαιχνίδια κρυπτονομισμάτων play-to-earn, κεφάλαια επιχειρηματικού κινδύνου που επενδύουν σε κρυπτονομίσματα ή άτομα που κατέχουν μεγάλες ποσότητες ψηφιακών νομισμάτων ή πολύτιμα NFT.

Οι εισβολείς χρησιμοποιούν την κοινωνική μηχανική μέσω διαφόρων πλατφορμών επικοινωνίας για να πείσουν τα θύματα να κατεβάσουν τρωανισμένες εφαρμογές κρυπτονομισμάτων. Αυτό τους επιτρέπει να αποκτήσουν πρόσβαση στον υπολογιστή του θύματος, να διαδώσουν κακόβουλο λογισμικό και να κλέψουν ιδιωτικά κλειδιά ή να εκμεταλλευτούν άλλα κενά ασφαλείας για να ξεκινήσουν δόλιες συναλλαγές blockchain.

Το Iranian APT MuddyWater/APT 34 στοχεύει στον δημόσιο/ιδιωτικό τομέα στην Ασία, την Αφρική, την Ευρώπη και τη Βόρεια Αμερική

Τον Απρίλιο του 2022, κυβερνητικές επιθέσεις στον κυβερνοχώρο από την ομάδα προηγμένης επίμονης απειλής του Ιράν MuddyWater/APT 34 στόχευσαν μια σειρά οργανισμών της κυβέρνησης και του ιδιωτικού τομέα σε πολλούς τομείς στην Ασία, την Αφρική, την Ευρώπη και τη Βόρεια Αμερική ως μέρος του Υπουργείου Πληροφοριών και Ασφάλειας του Ιράν. (MOIS).

Στη συνέχεια, τον Σεπτέμβριο του 2020, η ομοσπονδιακή κυβέρνηση των ΗΠΑ επέβαλε κυρώσεις στην ιρανική κυβέρνηση για την υποστήριξή της σε δραστηριότητες εγκλήματος στον κυβερνοχώρο, τις οποίες ισχυρίζονται ότι διεξάγονται μέσω πολλών ομάδων Advanced Persistent Threat (APT).

Συγκεκριμένα, το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των ΗΠΑ (OFAC) χαρακτήρισε το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS) ως "εμπλακεί σε δραστηριότητες που ενεργοποιούνται από τον κυβερνοχώρο εναντίον των Ηνωμένων Πολιτειών και των συμμάχων τους", τουλάχιστον από το 2007.

Οι Ρώσοι ηθοποιοί APT στοχεύουν σε εργολάβους άμυνας

Τουλάχιστον από τον Ιανουάριο του 2020, έως τον Φεβρουάριο του 2022, το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI), η Εθνική Υπηρεσία Ασφαλείας (NSA) και η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA), εντόπισαν ένα τακτικό μοτίβο κυβερνοεπιθέσεων κατά των Η.Π.Α. εκκαθαρισμένοι αμυντικοί εργολάβοι (CDC) προερχόμενοι από Ρώσους κρατικούς φορείς .

Αυτές οι επιθέσεις χρησιμοποίησαν κοινές αλλά αποτελεσματικές τακτικές όπως ψάρεμα με δόρυ, συλλογή διαπιστευτηρίων, τεχνικές ψεκασμού ωμής βίας/κωδικού πρόσβασης και εκμετάλλευση γνωστών τρωτών σημείων σε ασθενώς ασφαλείς λογαριασμούς και δίκτυα. Οι επιτιθέμενοι στόχευσαν επίσης περιβάλλοντα Microsoft 365 (M365) με την επιμονή να διατηρείται με τη χρήση νόμιμων διαπιστευτηρίων και κακόβουλου λογισμικού για την εξαγωγή δεδομένων.

Οι παραπάνω επιθέσεις προκάλεσαν μεγάλες αναταραχές και ζημιές δισεκατομμυρίων δολαρίων παγκοσμίως. Πραγματοποιήθηκαν τόσο για γεωπολιτικούς λόγους όσο και για νομισματικό κέρδος. Είναι σαφές ότι τα APT θα παραμείνουν απειλή για τα επόμενα χρόνια και πρέπει να αντιμετωπιστούν προληπτικά, ώστε να ελαχιστοποιηθεί η περαιτέρω ζημιά από φορείς τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα. .