8 C
Athens
Παρασκευή, 3 Φεβρουαρίου, 2023

Έγγραφα – δόλωμα για τη σύγκρουση Ρωσίας-Ουκρανίας «ανοίγουν» την πόρτα στην κυβερνοκατασκοπεία

Έγγραφα-δόλωμα που έχουν επίσημη εμφάνιση, αλλά και άρθρα ειδήσεων και αγγελίες εργασίας που σχετίζονται με τον πόλεμο Ρωσίας-Ουκρανίας χρησιμοποιούν οι χάκερς σε όλο τον κόσμο για να διαδώσουν κακόβουλο λογισμικό και να παρασύρουν τα θύματα τους σε κατασκοπεία στον κυβερνοχώρο.

Η Check Point Research (CPR), παγκόσμια εταιρεία κυβερνοασφάλειας, παρουσιάζει τρεις ομάδες APT, με τα ονόματα El Machete, Lyceum και SideWinder, οι οποίες διαπιστώθηκε ότι εκτελούσαν εκστρατείες “ψαρέματος” θυμάτων σε πέντε χώρες.

Μετά την εξέταση των εγγράφων αυτών, η CPR βρήκε κακόβουλο λογισμικό ικανό για καταγραφή πληκτρολογίου, λήψη στιγμιότυπων οθόνης και εκτέλεση εντολών. Η CPR πιστεύει ότι το κίνητρο πίσω από αυτές τις πρόσφατες εκστρατείες κυβερνοκατασκοπείας είναι η κλοπή ευαίσθητων πληροφοριών από κυβερνήσεις, τράπεζες και εταιρείες ενέργειας.

Ο πόλεμος των εγγράφων – δόλωμα για κυβερνοκατασκοπεία

Ανάλογα με τους στόχους και την περιοχή, οι επιτιθέμενοι χρησιμοποιούν ως δόλωμα έγγραφα που έχουν επίσημη εμφάνιση, μέχρι και άρθρα ειδήσεων και αγγελίες εργασίας.

Οι ομάδες απειλών και τα θύματά τους δεν συγκεντρώνονται σε μία περιοχή, αλλά καλύπτουν όλο τον κόσμο, συμπεριλαμβανομένης της Λατινικής Αμερικής, της Μέσης Ανατολής και της Ασίας.

Η CPR παρουσιάζει τα προφίλ τριών ομάδων APT, που ονομάζονται El Machete, Lyceum και Sidewinder, οι οποίες εντοπίστηκαν πρόσφατα να διεξάγουν εκστρατείες spear-phishing σε πέντε χώρες.

Ονομασία APT Προέλευση APT Τομέας-Στόχος Χώρες-Στόχος
El Machete Ισπανόφωνη Χώρα Οικονομικός, Κυβερνητικός Νικαράγουα, Βενεζουέλα
Lyceum Ισλαμική Δημοκρατία του Ιράν Ενέργεια Ισραήλ, Σαουδική Αραβία
SideWinder Πιθανώς Ινδία Άγνωστος Πακιστάν
Ο πίνακας συνοψίζει την προέλευση, τον τομέα-στόχο και τις χώρες-στόχους κάθε ομάδας APT

Δυνατότητες κακόβουλου λογισμικού

Η CPR μελέτησε το κακόβουλο λογισμικό που περιείχε καθεμία από τις τρεις ομάδες APT, ειδικά για αυτές τις δραστηριότητες κυβερνοκατασκοπείας. Οι δυνατότητες περιλαμβάνουν:

  • Keylogging: κλέβει ό,τι εισάγετε χρησιμοποιώντας το πληκτρολόγιο
  • Συλλογή διαπιστευτηρίων: συλλέγει διαπιστευτήρια που είναι αποθηκευμένα σε προγράμματα περιήγησης Chrome και Firefox
  • Συλλογή αρχείων: συλλέγει πληροφορίες σχετικά με τα αρχεία σε κάθε μονάδα δίσκου και συλλέγει ονόματα αρχείων και μεγέθη αρχείων, επιτρέποντας την κλοπή συγκεκριμένων αρχείων
  • Στιγμιότυπο οθόνης (Screenshot)
  • Συλλογή δεδομένων από το clipboard
  • Εκτέλεση εντολών

Μεθοδολογίες επίθεσης

El Machete

  1. Spear-phishing email με κείμενο για την Ουκρανία
  2. Συνημμένο έγγραφο Word με άρθρο για την Ουκρανία
  3. Κακόβουλη μακροεντολή μέσα στο έγγραφο ρίχνει μια ακολουθία αρχείων
  4. Λήψη κακόβουλου λογισμικού στον υπολογιστή

Το  Machete εθεάθη να στέλνει spear-phishing μηνύματα σε χρηματοοικονομικούς οργανισμούς στη Νικαράγουα, με συνημμένο έγγραφο Word με τίτλο «Σκοτεινά σχέδια του νεοναζιστικού καθεστώτος στην Ουκρανία». Το έγγραφο περιείχε ένα άρθρο που γράφτηκε και δημοσιεύτηκε από τον Alexander Khokholikov, τον Ρώσο πρεσβευτή στη Νικαράγουα, το οποίο συζητούσε τη ρωσο-ουκρανική σύγκρουση από την οπτική γωνία του Κρεμλίνου.

Lyceum

  1. Email με περιεχόμενο σχετικά με εγκλήματα πολέμου στην Ουκρανία και σύνδεσμο προς κακόβουλο έγγραφο που φιλοξενείται σε ιστότοπο
  2. Το έγγραφο εκτελεί έναν κωδικό μακροεντολής όταν το έγγραφο είναι κλειστό
  3. Το αρχείο Exe αποθηκεύεται στον υπολογιστή
  4. Την επόμενη φορά που θα επανεκκινήσετε τον υπολογιστή σας, το κακόβουλο λογισμικό εκτελείται

Στα μέσα Μαρτίου, μια ισραηλινή εταιρεία ενέργειας έλαβε ένα email από τη διεύθυνση inews-reporter@protonmail[.]com με θέμα «Ρωσικά εγκλήματα πολέμου στην Ουκρανία». Το email περιείχε μερικές φωτογραφίες που ελήφθησαν από πηγές δημόσιων μέσων και περιείχε έναν σύνδεσμο προς ένα άρθρο που φιλοξενήθηκε στο news-spot[.]live domain.

Ο σύνδεσμος στο email οδηγεί σε ένα έγγραφο που περιέχει το άρθρο «Οι ερευνητές συγκεντρώνουν στοιχεία για πιθανά ρωσικά εγκλήματα πολέμου στην Ουκρανία» που δημοσιεύτηκε από τον Guardian. Το ίδιο domain φιλοξενεί μερικά ακόμη κακόβουλα έγγραφα που σχετίζονται με τη Ρωσία καθώς και με τον πόλεμο Ρωσίας-Ουκρανίας, όπως ένα αντίγραφο ενός άρθρου του The Atlantic Council από το 2020 σχετικά με τα ρωσικά πυρηνικά όπλα και μια αγγελία εργασίας για έναν “Extraction / Protective Agent” πράκτορα στην Ουκρανία.

SideWinder

  1. Το θύμα ανοίγει το κακόβουλο έγγραφο
  2. Όταν ανοίξει, το έγγραφο ανακτά ένα απομακρυσμένο πρότυπο από ελεγχόμενο server
  3. Το εξωτερικό πρότυπο που έχει ληφθεί είναι ένα αρχείο RTF, το οποίο εκμεταλλεύεται την ευπάθεια CVE-2017-11882
  4. Το κακόβουλο λογισμικό έχει εγκατασταθεί στον υπολογιστή του θύματος

Το κακόβουλο έγγραφο του Sidewinder, το οποίο επίσης εκμεταλλεύεται τον πόλεμο Ρωσίας-Ουκρανίας, ανέβηκε στο VirusTotal (VT) στα μέσα Μαρτίου. Κρίνοντας από το περιεχόμενό του, οι επιθυμητοί στόχοι είναι Πακιστανικές οντότητες. Το έγγραφο δόλωμα περιέχει αρχείο του National Institute of Maritime Affairs του Πανεπιστημίου Bahria στο Ισλαμαμπάντ και τιτλοφορείται «Συζήτηση για τον αντίκτυπο της σύγκρουσης Ρωσίας-Ουκρανίας στο Πακιστάν». Αυτό το κακόβουλο έγγραφο χρησιμοποιεί απομακρυσμένη εισροή προτύπου. Όταν ανοίξει, το έγγραφο ανακτά ένα απομακρυσμένο πρότυπο από έναν ελεγχόμενο server από τους επιτιθέμενους.

Ο Sergey Shykevich, Threat Intelligence Group Manager στην Check Point Software ανέφερε «αυτή τη στιγμή, βλέπουμε μια ποικιλία από καμπάνιες APT που χρησιμοποιούν τον πόλεμο Ρωσίας-Ουκρανίας για διανομή κακόβουλου λογισμικού. Οι εκστρατείες είναι ιδιαίτερα στοχευμένες και εξελιγμένες, εστιάζοντας στον κυβερνητικό, τον χρηματοοικονομικό και τον ενεργειακό τομέα. Μελετήσαμε προσεκτικά το κακόβουλο λογισμικό που εμπλέκεται και βρήκαμε δυνατότητες που καλύπτουν την καταγραφή πληκτρολογίου, τη λήψη στιγμιότυπων οθόνης και πολλά άλλα. Πιστεύω ακράδαντα ότι αυτές οι εκστρατείες έχουν σχεδιαστεί με βασικό κίνητρο την κυβερνοκατασκοπεία. Τα ευρήματά μας αποκαλύπτουν μια σαφή τάση, ότι αφορά στον πόλεμο μεταξύ Ρωσίας και Ουκρανίας είναι δόλωμα που χρησιμοποιούν ομάδες απειλής παγκοσμίως. Συνιστώ ανεπιφύλακτα στις κυβερνήσεις, τις τράπεζες και τις εταιρείες ενέργειας να ενεργοποιηθούν όσον αφορά στην ευαισθητοποίηση και εκπαίδευση των εργαζομένων τους για την κυβερνοασφάλεια και να εφαρμόσουν λύσεις κυβερνοασφάλειας που προστατεύουν το δίκτυο τους σε όλα τα επίπεδα».

Κυβερνοεπιθέσεις σε Ουκρανία, Ρωσία και χώρες του ΝΑΤΟ

Προ ημερών η Check Point Research δημοσίευσε τις τάσεις των επιθέσεων στον κυβερνοχώρο κατά τη διάρκεια του τρέχοντος πολέμου Ρωσίας-Ουκρανίας. Ένα μήνα μετά την έναρξη του πολέμου στις 24 Φεβρουαρίου 2022, τόσο η Ρωσία όσο και η Ουκρανία είδαν αυξήσεις στις κυβερνοεπιθέσεις κατά 10% και 17% αντίστοιχα. Η CPR έχει επίσης καταγράψει αύξηση 16% στις κυβερνοεπιθέσεις παγκοσμίως καθ’ όλη τη διάρκεια της τρέχουσας σύγκρουσης και παρουσιάζει δεδομένα κυβερνοεπιθέσεων για χώρες, περιοχές του ΝΑΤΟ.

Κοινοποιηση αρθρου

Τελευταια Νεα

Στα μεταχειρισμένα smartphones στρέφονται οι χρήστες-Τι γίνεται στην Ελλάδα

της Νατάσας Φραγκούλη Στη λύση της αγοράς ενός μεταχειρισμένου smartphone στρέφονται όλο και περισσότεροι καταναλωτές ανά τον κόσμο. Ως αποτέλεσμα οι πωλήσεις μεταχειρισμένων και...

Τρεις απειλές για τις επιχειρήσεις το 2023: Μιντιακός εκφοβισμός, ψεύτικες διαρροές δεδομένων και επιθέσεις μέσω cloud

Ερευνητές στις Υπηρεσίες Ασφαλείας της Kaspersky μοιράστηκαν τις προβλέψεις τους σχετικά με τις ανερχόμενες κυβερνοαπειλές του επόμενου έτους για τις οποίες μεγάλες επιχειρήσεις και κυβερνητικοί...

Vodafone Ελλάδας: Στα €660 εκατ. τα έσοδα 9μήνου

Έσοδα από υπηρεσίες ύψους 660 εκατ. ευρώ, εμφάνισε η Vodafone στο 9μηνο Απριλίου - Δεκεμβρίου 2022 (για την οικονομική χρήση που ολοκληρώνεται τον Μάρτιο 2023),...

PYLON Hybrid: Η μοναδική all in one λύση της ελληνικής βιομηχανίας πληροφορικής

O Όμιλος EPSILON NET, ο καταλύτης του ψηφιακού μετασχηματισμού των ελληνικών επιχειρήσεων, και η Epsilon SingularLogic, μία από τις κορυφαίες εταιρείες του Ομίλου με...

Ο Όμιλος Quest ολοκλήρωσε τoν 5ο κύκλο του Quest Mini MBA

Ολοκληρώθηκε ο 5ος κύκλος του Quest Mini MBA, του προγράμματος επιμόρφωσης εργαζομένων, που έχει σχεδιασθεί από το Alba Graduate Business School αποκλειστικά για τις...