Οι εγκληματίες στον κυβερνοχώρο στοχεύουν στον κλάδο της βιομηχανίας πετρελαίου και φυσικού αερίου με εκστρατείες spearphishing υψηλής στόχευσης που πλαστοπροσωπούν εταιρείες αποστολών και εργολάβους μηχανικής ενώ προσπαθούν να μολύνουν τους στόχους τους με malware payloads Agent Tesla.
Το Agent Tesla είναι ένα πρόγραμμα κλοπής πληροφοριών με βάση το .Net και εμπορικά διαθέσιμο από τουλάχιστον το 2014 που συνοδεύεται από δυνατότητες πληκτρολόγησης και απομακρυσμένης πρόσβασης Trojan (RAT).
Αυτό το info-stealer χρησιμοποιείται επίσης για τη συλλογή πληροφοριών συστήματος, για κλοπή περιεχομένου πρόχειρου, καθώς και για τη δολοφονία διαδικασιών που σχετίζονται με την ανάλυση malware και λύσεων antivirus.
Αυτό που κάνει αυτές τις καμπάνιες να ξεχωρίζουν είναι το γεγονός ότι είναι η πρώτη φορά που το Tesla έχει αναπτυχθεί ως μέρος των επιθέσεων που στοχεύουν τον τομέα του πετρελαίου και του φυσικού αερίου.
Κατάχρηση φήμης και εσωτερική γνώση
Ενώ οι επιθέσεις δεν είναι τόσο εξελιγμένες όσο άλλες που είχαν στοχεύσει στο παρελθόν εταιρείες ενέργειας, το timing τους είναι σωστό δεδομένου ότι ήταν ενεργές πριν και κατά τη διάρκεια μιας εβδομάδας μαραθωνίου συναντήσεων και κλήσεων μεταξύ της συμμαχίας του OPEC+ (Οργανισμός Εξαγωγών Πετρελαιοπαραγωγών Χωρών) και της Ομάδας των 20 εθνών που τελείωσε με μια ιστορική συμφωνία για τη μείωση της παγκόσμιας παραγωγής πετρελαίου.
Αυτό “υποδηλώνει κίνητρο και ενδιαφέρον να μάθουμε πώς συγκεκριμένες χώρες σχεδιάζουν να αντιμετωπίσουν το ζήτημα”, όπως περιγράφεται λεπτομερώς σε μια έκθεση που κοινοποιήθηκε εκ των προτέρων με τον BleepingComputer από ερευνητές στο Bitdefender που εντόπισαν και ανέλυσαν αυτές τις επιθέσεις.
Σε μια από τις εκστρατείες spearphishing, οι hackers πλαστοπροσώπησαν και έκαναν κατάχρηση της φήμης της αιγυπτιακής κρατικής εταιρείας πετρελαίου ENPPI (Engineering for Petroleum and Process Industries), μιας εταιρείας με εμπειρία σε έργα πετρελαίου και φυσικού αερίου τόσο σε onshore όσο και σε offshore.
“Η δεύτερη εκστρατεία spearphishing, χρησιμοποίησε νόμιμες πληροφορίες σχετικά με ένα δεξαμενόπλοιο χημικών / πετρελαίου, καθώς και τη βιομηχανία, για να κάνει το email πιστευτό στα θύματα από τις Φιλιππίνες”, αναφέρει η έκθεση του Bitdefender.
Και στις δύο περιπτώσεις, οι επιτιθέμενοι χρησιμοποιήσαν κακόβουλα συνημμένα για να παραδώσουν το Agent Tesla info-stealer, προσπαθώντας να μολύνουν τους παραλήπτες και να συλλέξουν credentials και ευαίσθητες πληροφορίες που μεταφέρονται στους command and control servers τους.
Ο τομέας της ενέργειας γίνεται στόχος όλο και περισσότερο το 2020
Ωστόσο, όπως αναφέρουν επίσης σε μια έκθεση, αυτές οι επιθέσεις “στοχεύουν επίσης και άλλους ενεργειακούς κλάδους που έχουν χαρακτηριστεί ως κρίσιμοι κατά τη διάρκεια αυτής της πανδημίας του Coronavirus.”
Αφού εξέτασε τα προφίλ των θυμάτων, η Bitdefender διαπίστωσε ότι οι επιτιθέμενοι στοχεύουν επίσης οντότητες επεξεργασίας ξυλάνθρακα, μεταφορείς μεγάλων εμπορευμάτων, υδραυλικά εργοστάσια και κατασκευαστές πρώτων υλών.
“Από τον Οκτώβριο του 2019, η παγκόσμια εξέλιξη των κυβερνοεπιθέσεων στην ενεργειακή βιομηχανία αυξάνεται σταθερά σε μηνιαία βάση, με τον Φεβρουάριο του 2020 να γίνεται η κορύφωση”, λέει η Bitdefender.
“Με πάνω από 5.000 κακόβουλες αναφορές από εταιρείες που δραστηριοποιούνται στον κλάδο της ενέργειας, οι εγκληματίες στον κυβερνοχώρο φαίνεται να ενδιαφέρονται έντονα για αυτόν τομέα, ίσως γιατί έχει γίνει πιο σημαντικός μετά τις πρόσφατες διακυμάνσεις των τιμών του πετρελαίου.”
