ΑρχικήsecurityΕκστρατεία κατασκοπείας χρησιμοποιεί backdoor για κλοπή δεδομένων

Εκστρατεία κατασκοπείας χρησιμοποιεί backdoor για κλοπή δεδομένων

Μια εκστρατεία κατασκοπείας στοχεύει το Υπουργείο Εξωτερικών μιας χώρας της Ευρωπαϊκής Ένωσης με τη βοήθεια ενός νέου malware που παρέχει ένα μυστικό backdoor σε παραβιασμένα συστήματα Windows.

backdoor
Εκστρατεία κατασκοπείας χρησιμοποιεί backdoor για κλοπή δεδομένων

Η εκστρατεία ανακαλύφθηκε από την εταιρεία ασφαλείας ESET και σύμφωνα με τους ερευνητές, στοχεύει στην κλοπή ευαίσθητων εγγράφων και άλλων αρχείων με την κρυφή εξαγωγή τους μέσω λογαριασμών Dropbox που ελέγχονται από τους επιτιθέμενους.

Οι hackers έχουν ονομάσει αυτή τη malware εκστρατεία (και το ίδιο το backdoor) Crutch και λέγεται ότι είναι ενεργή από το 2015. Οι ερευνητές την έχουν συνδέσει με τη hacking ομάδα Turla (γνωστή και ως Waterbug και Venomous Bear), λόγω της ομοιότητάς της με προηγούμενες εκστρατείες της ομάδας (π.χ. Gazer). Το Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο (NCSC) του Ηνωμένου Βασιλείου είναι μεταξύ εκείνων που έχουν αποδώσει την εκστρατεία και το backdoor στη ρωσική Turla.

Η εκστρατεία Crutch φαίνεται να επικεντρώνεται σε πολύ συγκεκριμένους στόχους με σκοπό την κλοπή ευαίσθητων εγγράφων. Η ESET δεν έχει αποκαλύψει λεπτομέρειες σχετικά με τον πρόσφατο στόχο. Το μόνο που έχει πει είναι ότι πρόκειται για το υπουργείο Εξωτερικών μιας χώρας της Ε.Ε. Αυτό αποτελεί άλλο ένα στοιχείο, καθώς οι hackers της Turla εστιάζουν κυρίως σε τέτοιους στόχους.

Ωστόσο, το Crutch δεν είναι payload πρώτου σταδίου. Αναπτύσσεται μόνο αφού οι επιτιθέμενοι έχουν ήδη παραβιάσει το δίκτυο του στόχου. Πιθανότατα, η παραβίαση ξεκινάει με ειδικά σχεδιασμένες spear-phishing επιθέσεις, αν λάβουμε υπόψη άλλες παρόμοιες επιθέσεις.

Εκστρατεία κατασκοπείας
Εκστρατεία κατασκοπείας χρησιμοποιεί backdoor για κλοπή δεδομένων

Μόλις το Crutch εγκατασταθεί ως backdoor στο σύστημα του στόχου, επικοινωνεί με ένα hardcoded Dropbox account, το οποίο χρησιμοποιείται για να μην τραβήξει την προσοχή η ανάκτηση αρχείων.

Η ανάλυση δείχνει ότι το backdoor έχει λάβει πολλές ενημερώσεις και έχει τροποποιηθεί με την πάροδο των ετών, προκειμένου να διατηρηθεί η αποτελεσματικότητά του. Ταυτόχρονα, καταφέρνει να μένει κρυφό.

Η κύρια κακόβουλη δραστηριότητα είναι η εξαγωγή εγγράφων και άλλων ευαίσθητων αρχείων. Οι εξελιγμένες επιθέσεις και οι τεχνικές λεπτομέρειες ενισχύουν περαιτέρω την υπόθεση ότι η ομάδα Turla βρίσκεται πίσω από την εκστρατεία, αφού διαθέτει σημαντικούς πόρους για τη λειτουργία ενός τόσο μεγάλου και διαφορετικού malware οπλοστασίου“, δήλωσε ο Matthieu Faou, ερευνητής στην ESET.

Ωστόσο, υπάρχουν κάποια απλά μέτρα ασφαλείας που μπορούν να εφαρμόσουν οι οργανισμοί για να αποφύγουν τέτοιου είδους επιθέσεις.

Κατά τη διάρκεια αυτής της έρευνας, παρατηρήσαμε ότι οι επιτιθέμενοι μπόρεσαν να μετακινηθούν στο δίκτυο και να παραβιάσουν πρόσθετα μηχανήματα επαναχρησιμοποιώντας τους κωδικούς πρόσβασης διαχειριστή“, δήλωσε ο Fauo.

Ο ερευνητής είπε ότι αν οι οργανισμοί πάρουν μέτρα για να περιορίσουν τις δυνατότητες μετακίνησης στο δίκτυο, οι hackers θα δυσκολευτούν στην επίθεση. Αυτό μπορεί να γίνει αν απαγορευτεί στους χρήστες να λειτουργούν ως διαχειριστές, αν εφαρμοστεί έλεγχος ταυτότητας δύο παραγόντων σε λογαριασμούς διαχειριστή και αν χρησιμοποιούνται μοναδικοί και ισχυροί κωδικοί πρόσβασης.

Πηγή: ZDNet

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS