«Operation Ghoul»: Νέα απειλή εναντίον του βιομηχανικού και του μηχανολογικού κλάδου

Deasy @ 25.08.2016
«Operation Ghoul»: Νέα απειλή εναντίον του βιομηχανικού και του μηχανολογικού κλάδου

Ένα νέο κύμα στοχευμένων επιθέσεων εναντίον του βιομηχανικού και του μηχανολογικού κλάδου σε πολλές χώρες ανακάλυψε η Kaspersky Lab. Χρησιμοποιώντας μηνύματα (e-mail) spear-phishing και κακόβουλο λογισμικό με βάση ένα εμπορικό spyware kit, οι εγκληματίες προσπαθούν να αποσπάσουν πολύτιμα επιχειρηματικά δεδομένα, που βρίσκονται αποθηκευμένα στα δίκτυα των θυμάτων τους. Σύμφωνα με την ανακοίνωση της Kaspersky Lab, συνολικά, πάνω από 130 οργανισμοί από 30 χώρες, μεταξύ των οποίων η Ισπανία, το Πακιστάν, τα Ηνωμένα Αραβικά Εμιράτα, η Ινδία, η Αίγυπτος, το Ηνωμένο Βασίλειο, η Γερμανία, η Σαουδική Αραβία κ.ά., έπεσαν θύματα επιτυχημένων επιθέσεων από την συγκεκριμένη ομάδα.

H ανακάλυψη της εταιρείας ασφάλειας ξεκίνησε τον Ιούνιο του 2016, όταν ερευνητές τηςεντόπισαν ένα κύμα μηνυμάτων spear-phishing, που περιλάμβαναν κακόβουλα συνημμένα αρχεία. Τα μηνύματα αυτά είχαν αποσταλεί κυρίως σε κορυφαία και μεσαία στελέχη πολλών εταιριών. Τα email που στάλθηκαν από τους εισβολείς φαίνονταν να προέρχονται από μια τράπεζα στα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ), ενώ έμοιαζαν με συμβουλές πληρωμής από την τράπεζα και περιλάμβαναν ένα συνημμένο έγγραφο SWIFT, αλλά στην πραγματικότητα, το συνημμένο αρχείο περιείχε κακόβουλο λογισμικό.

Περαιτέρω έρευνα που διεξήχθη από ερευνητές της Kaspersky Lab έδειξε ότι αυτή η εκστρατεία spear-phishingέχει πιθανότατα οργανωθεί από μία ομάδα ψηφιακών εγκληματιών, που είχε εντοπιστεί για πρώτη φορά από τους ερευνητές της εταιρείας, τον Μάρτιο του 2015. Οι επιθέσεις του Ιουνίου φαίνεται να είναι η πιο πρόσφατη ενέργεια αυτής της ομάδας.

Το κακόβουλο λογισμικό που βρίσκεται στο συνημμένο αρχείο βασίζεται στο λογισμικό Hawkeye, ένα spyware πρόγραμμα που διατίθεται εμπορικά και πωλείται απροκάλυπτα στο Darkweb. Το συγκεκριμένο πρόγραμμα παρέχει μια ευρεία γκάμα εργαλείων που μπορούν να αξιοποιήσουν οι επιτιθέμενοι. Μετά την εγκατάσταση του, συλλέγει ενδιαφέροντα στοιχεία από τον υπολογιστή του θύματος, συμπεριλαμβανομένων:

- Πληκτρολογήσεων

- Αντιγραμμένων δεδομένων στο clipboard

- Στοιχείων από FTP server

- Στοιχείων λογαριασμού από προγράμματα περιήγησης

- Στοιχείων λογαριασμού από πλατφόρμες άμεσων μηνυμάτων (π.χ. Paltalk, GoogleTalk, AIM)

- Στοιχείων λογαριασμού από εφαρμογές e-mailσε πελάτες (π.χ. Outlook, Windows Live Mail)

- Πληροφοριών σχετικά με εγκατεστημένες εφαρμογές (π.χ. Microsoft Office)

Στη συνέχεια, αυτά τα δεδομένα αποστέλλονταν στους Command & Control servers του απειλητικού φορέα. Με βάση τις πληροφορίες που προέκυψαν από κάποιες «τρύπες» σε ορισμένους Command & Control servers, η πλειοψηφία των θυμάτων είναι οργανισμοί που δραστηριοποιούνται στους τομείς της βιομηχανίας και της μηχανολογίας, καθώς και εταιρείες από τον ναυτιλιακό, τον φαρμακευτικό, τον κατασκευαστικό, τον εμπορικό και τον εκπαιδευτικό κλάδο, μεταξύ άλλων.

Όλες αυτές οι επιχειρήσεις κατέχουν πολύτιμες πληροφορίες που θα μπορούσαν να πωληθούν στη συνέχεια στη μαύρη αγορά. Το οικονομικό κέρδος είναι το κύριο κίνητρο των επιτιθέμενων πίσω από το «Operation Ghoul».

Το «Operation Ghoul»,όπως ονομάστηκε από τους ερευνητές της Kaspersky Lab, είναι μόνο μία από τις πολλές εκστρατείες που υποτίθεται ότι ελέγχονται από την ίδια ομάδα ψηφιακού εγκλήματος, η οποία παραμένει ενεργή.

ΑΣΦΑΛΕΙΑ ΚΑΙ ΚΥΒΕΡΝΟΕΓΚΛΗΜΑ,KASPERSKY,

Σχόλια

ΠΑΡΑΚΑΛΩ ΠΕΡΙΜΕΝΕΤΕ. ΦΟΡΤΩΝΟΝΤΑΙ ΠΕΡΙΣΣΟΤΕΡΑ...

Home