Οι ερευνητές της Proofpoint ανέφεραν σε μια έκθεσή τους ότι 17 αμερικανικές επιχειρήσεις κοινής ωφέλειας βρέθηκαν στο στόχαστρο μιας μυστηριώδους κρατικής hacking ομάδας. Οι hackers έστελναν phishing emails στους υπαλλήλους των επιχειρήσεων για τουλάχιστον 5 μήνες (Απρίλιος-Αύγουστος 2019).
Οι hackers προσπαθούσαν να επηρεάσουν τα συστήματα των υπαλλήλων με το LookBack, ένα trojan που προσφέρει τη δυνατότητα απομακρυσμένης πρόσβασης και διαθέτει πολλά χαρακτηριστικά.
Δεν υπάρχουν αποδείξεις, αλλά οι ερευνητές υποθέτουν ότι οι επιθέσεις προέρχονται από την κινεζική ομάδα APT10, καθώς παρατήρησαν κάποιες κοινές μεθόδους.
Η έκθεση της Proofpoint αποτελεί συνέχεια μιας έκθεσης που είχε δημοσιεύσει στις αρχές Αυγούστου. Τότε, οι ερευνητές ανέφεραν τις επιθέσεις σε τρεις αμερικανικές επιχειρήσεις κοινής ωφέλειας, που είχαν γίνει μεταξύ 19 και 25 Ιουλίου 2019.
Σύμφωνα με τα τωρινά δεδομένα, η Proofpoint δηλώνει ότι οι πρώτες επιθέσεις ήταν πιο διαδεδομένες από ό,τι πίστευε αρχικά. Οι hackers αύξησαν τις επιθέσεις τους και τελικά στόχευσαν 17 επιχειρήσεις. Επιπλέον, υπάρχουν υποψίες ότι οι επιθέσεις είχαν ξεκινήσει νωρίτερα από τον Απρίλιο.
Οι περισσότερες κρατικές hacking ομάδες τείνουν να υποχωρούν, όταν οι εταιρείες ασφαλείας ανακαλύπτουν και δημοσιοποιούν τη δράση τους.
Ωστόσο, σύμφωνα με ανώτερο στέλεχος της Proofpoint, η συγκεκριμένη ομάδα δεν πτοήθηκε και συνέχισε τις επιθέσεις της ακόμα και μετά την πρώτη έκθεση της Proofpoint στις αρχές Αυγούστου.
Στην πραγματικότητα, οι hackers όχι μόνο δεν πτοήθηκαν αλλά ανέπτυξαν και νέες μεθόδους επίθεσης σε αυτό το διάστημα.
Επιθέσεις σε επιχειρήσεις στον τομέα της ενέργειας
Με βάση τα emails που στάλθηκαν, οι ερευνητές συμπεραίνουν ότι οι hackers στόχευσαν κυρίως επιχειρήσεις στον τομέα της ενέργειας, όπως εργοστάσια παροχής ηλεκτρικού ρεύματος, πυρηνικούς σταθμούς, αιολικά πάρκα και άλλα.
Ο επικεφαλής της έρευνας της Proofpoint δήλωσε ότι οι spear-phishing επιθέσεις δεν επηρέασαν έναν συγκεκριμένο ενεργειακό τομέα, αλλά διάφορες επιχειρήσεις κοινής ωφέλειας.
Οι hackers παρίσταναν υπαλλήλους οργανισμών που συνεργάζονταν με τις επιχειρήσεις, ώστε να μην κινήσουν υποψίες.
Η hacking ομάδα χρησιμοποιούσε domain names που μιμούνταν τα GEC και NCEES όσο το δυνατόν καλύτερα. Επιπλέον, τα phishing emails περιελάμβαναν έναν συνδυασμό νόμιμων και κακόβουλων εγγράφων για να εξαπατήσουν τους χρήστες.
Αν τα θύματα άνοιγαν τα κακόβουλα έγγραφα, τότε το ενσωματωμένο VBA script κατέβαζε και εγκαταθιστούσε το LookBack malware.
Οι ερευνητές έχουν παρατηρήσει ότι το νέο κακόβουλο λογισμικό έχει πολλά χαρακτηριστικά που δίνουν στον εισβολέα ένα backdoor στον υπολογιστή του θύματος.
Σύμφωνα με την Proofpoint, “το LookBack malware είναι ένα Trojan απομακρυσμένης πρόσβασης γραμμένο σε C ++ και μεταφέρει δεδομένα από τον μολυσμένο κεντρικό υπολογιστή σε μια command and control IP.
Οι δυνατότητές του είναι πολλές. Παρακολουθεί το σύστημα και τα αρχεία, διαγράφει αρχεία, εκτελεί εντολές, κάνει λήψη screenshots, μετακινεί και κάνει κλικ με το ποντίκι, κάνει επανεκκίνηση του υπολογιστή και αυτο-διαγράφεται από το μολυσμένο υπολογιστή.
Η Proofpoint κατάφερε να μπλοκάρει τις spear-phishing επιθέσεις στα δίκτυα των πελατών της. Ωστόσο, οι hackers μπορεί να κατάφεραν να επιτεθούν σε άλλες επιχειρήσεις με το LookBack malware.
Οι ερευνητές ανακάλυψαν ότι πριν από την αποστολή των phishing emails, οι hackers σάρωναν το δίκτυο για την ανίχνευση ανοιχτών SMB πρωτοκόλλων (θύρα 445).
Αυτές οι σαρώσεις γίνονταν περίπου δύο εβδομάδες πριν τα phishing emails στους υπαλλήλους των επιχειρήσεων και επέτρεπαν στους hackers να εντοπίσουν τα ευάλωτα συστήματα.
Η Proofpoint δεν ανέφερε ποιες επιχειρήσεις κοινής ωφέλειας έπεσαν θύματα της επίθεσης, καθώς είπε ότι οι έρευνες συνεχίζονται.
