Ερευνητές ανακάλυψαν μια νέα phishing εκστρατεία, που στοχεύει κυβερνητικές υπηρεσίες και σχετικές επιχειρήσεις σε όλο τον κόσμο. Στόχος των φορέων της επίθεσης είναι η κλοπή των credentials των θυμάτων.
Σύμφωνα με τα στοιχεία που υπάρχουν μέχρι στιγμής, η phishing εκστρατεία έχει στοχεύσει τουλάχιστον 22 διαφορετικούς οργανισμούς σε Ηνωμένες Πολιτείες, Καναδά, Κίνα, Αυστραλία, Σουηδία και άλλες χώρες. Τα phishing emails υποτίθεται ότι προέρχονται από οργανισμούς που σχετίζονται με τις στοχευμένες κυβερνητικές υπηρεσίες. Το περιεχόμενο του μηνύματος προσπαθεί να ξεγελάσει τα θύματα και να τα κάνει να ανοίξουν ένα email link, που ζητάει το όνομα χρήστη και τον κωδικό πρόσβασής τους.
Στην ουσία, τα θύματα νομίζουν ότι εισάγουν τα credentials τους σε ένα επίσημο κυβερνητικό site. Ωστόσο, το site είναι ψεύτικο και κλέβει τα credentials των χρηστών. Μετά από αυτό, οι hackers μπορούν να έχουν πρόσβαση στον λογαριασμό των θυμάτων.
Η εκστρατεία ανακαλύφθηκε από τους ερευνητές της εταιρείας Anomali. Ωστόσο, οι ειδικοί δεν γνωρίζουν ακόμα ποιοι βρίσκονται πίσω από αυτή την phishing εκστρατεία και ποια είναι τα βασικά τους κίνητρα. Μια υπόθεση είναι ότι οι hackers θέλουν να κατασκοπεύσουν τις στοχευμένες κυβερνητικές υπηρεσίες.
Οι περισσότερες από τις επιθέσεις επικεντρώνονται στις ίδιες τις κυβερνητικές υπηρεσίες, αλλά έχουν γίνει και μερικές επιθέσεις σε επιχειρήσεις προμηθειών και εταιρείες logistics που σχετίζονται με τους στόχους.
Η χώρα που έχει δεχτεί τις περισσότερες επιθέσεις στα πλαίσια αυτής της εκστρατείας είναι οι ΗΠΑ. Οι βασικότεροι στόχοι των hackers ήταν το Υπουργείο Ενέργειας, το Υπουργείο Εμπορίου και το Υπουργείο Υποθέσεων των Βετεράνων.
Σύμφωνα με τους ερευνητές, οι φορείς των επιθέσεων κάνουν πολύ προσεκτική δουλειά. Για καθέναν από τους στόχους τους, στέλνουν συγκεκριμένα emails που ταιριάζουν απόλυτα με την κάθε υπηρεσία. Σε όλες τις περιπτώσεις, τα phishing emails είναι γραμμένα στη μητρική γλώσσα της χώρας της στοχευμένης υπηρεσίας.
Για παράδειγμα, ένα phishing email που στοχεύει το Υπουργείο Εμπορίου των ΗΠΑ αναφέρει ότι περιέχει πληροφορίες σχετικά με την υποβολή προσφορών για διάφορα εμπορικά προϊόντα και υπηρεσίες. Στο τέλος, ζητά από το θύμα να ανοίξει ένα έγγραφο. Το έγγραφο αυτό περιέχει έναν σύνδεσμο που ο χρήστης καλείται, επίσης, να ανοίξει. Αυτός ο σύνδεσμος οδηγεί σε phishing site που ελέγχεται από τους hackers.
Τόσο τα emails όσο και το έγγραφο και το phishing site έχουν σχεδιαστεί με τέτοιο τρόπο ώστε να μοιάζουν αυθεντικά. Για παράδειγμα, το phishing site μοιάζει πολύ με αυτό του οργανισμού ή της εταιρείας που στοχεύει.
Παρόλο που δεν είναι γνωστή η πηγή της phishing εκστρατείας, τα domains φιλοξενούνται στην Τουρκία και τη Ρουμανία. Ωστόσο, οι hackers θα μπορούσαν να χρησιμοποιήσουν οποιαδήποτε χώρα για να φιλοξενήσουν τα domains του. Κατά την έρευνα της Anomali, αποκαλύφθηκαν συνολικά 62 domains και 122 phishing sites.
Οι ερευνητές έχουν ειδοποιήσει τις σχετικές ομάδες CERT (Computer Emergency Response Teams) για τις επιθέσεις.
Ωστόσο, υπάρχουν πράγματα που οι οργανισμοί και οι υπηρεσίες μπορούν να κάνουν για να προστατευθούν από αυτή τη phishing εκστρατεία αλλά και οποιαδήποτε άλλη παρόμοια επίθεση.
Σύμφωνα με τους ερευνητές, όλοι οι οργανισμοί θα πρέπει να ενημερώνονται για τις τρέχουσες απειλές στον κυβερνοχώρο και να ενσωματώσουν την έρευνα στις υποδομές ασφαλείας τους, ώστε να μπορούν να ανιχνεύουν, να μπλοκάρουν και γενικά να ανταποκρίνονται άμεσα σε μια πιθανή επίθεση.
Η εκπαίδευση και η ευαισθητοποίηση σχετικά με την ασφάλεια είναι απαραίτητες, ώστε να μπορούν οι υπάλληλοι να αναγνωρίζουν ύποπτα phishing emails.
Ο πλήρης κατάλογος των θυμάτων της phishing εκστρατείας και άλλες λεπτομέρειες βρίσκονται στο ερευνητικό έγγραφο της Anomali.
