Σε μια ανησυχητική δήλωση προχώρησε το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο (NCSC) του Ηνωμένου Βασιλείου προειδοποιώντας ότι οι οργανισμοί και οι απλοί χρήστες γίνονται όλο και πιο συχνά στόχοι Ρώσων και Ιρανών κρατικών hackers.
Η υπηρεσία κυβερνοασφάλειας της χώρας παρατήρησε απότομη αύξηση των spear-phishing επιθέσεων που πιστεύεται ότι πραγματοποιούνται από τους κακόβουλους φορείς που είναι γνωστοί ως SEABORGIUM και TA453. Σκοπός αυτών των εκστρατειών είναι να αποκτήσουν εμπιστευτικά στοιχεία από τα θύματά τους.
Ο διευθυντής επιχειρήσεων του NCSC, Paul Chichester, δήλωσε: “Αυτές οι εκστρατείες από φορείς απειλών με έδρα τη Ρωσία και το Ιράν συνεχίζουν να “κυνηγούν” ανελέητα τους στόχους τους σε μια προσπάθεια να κλέψουν διαδικτυακά credentials και να θέσουν σε κίνδυνο τα δυνητικά ευαίσθητα συστήματα“.
Δείτε επίσης: Lexmark: Διόρθωσε ευπάθεια που επηρεάζει πολλούς εκτυπωτές
Η υπηρεσία παρατήρησε ότι οι επιθέσεις μοιάζουν ως προς τις τεχνικές, τις τακτικές και τις διαδικασίες που χρησιμοποιούνται καθώς και ως προς τους στόχους που επιλέγουν, αλλά τόνισε ότι οι καμπάνιες είναι ξεχωριστές και ότι οι δύο ομάδες δεν συνεργάζονται.
“Οι επιθέσεις δεν στοχεύουν στο ευρύ κοινό, αλλά σε συγκεκριμένους τομείς, συμπεριλαμβανομένου του ακαδημαϊκού χώρου, της άμυνας, των κυβερνητικών οργανισμών, των ΜΚΟ, των think tanks, καθώς και πολιτικών, δημοσιογράφων και ακτιβιστών“, αναφέρει το NCSC του Ηνωμένου Βασιλείου σχετικά με τις επιθέσεις από τους Ρώσους και Ιρανούς hackers.
Η SEABORGIUM, γνωστή και ως “TA446“, είναι μια ρωσική κρατική ομάδα απειλών που στόχευσε χώρες του ΝΑΤΟ το περασμένο καλοκαίρι.
Τον Αύγουστο, η Microsoft προσπάθησε να διαταράξει τις δραστηριότητες των επιτιθέμενων απενεργοποιώντας τους διαδικτυακούς λογαριασμούς τους, ωστόσο η ενέργεια αυτή απέτυχε να εμποδίσει πλήρως τις προσπάθειές τους.
Από την άλλη μεριά, η TA453, επίσης γνωστή ως APT42, είναι μια επικίνδυνη ιρανική ομάδα απειλών που φέρεται να ανήκει στο Σώμα Φρουρών της Ισλαμικής Επανάστασης (IRGC), το οποίο αποτελεί τις κύριες ένοπλες δυνάμεις του Ιράν. Οι συγκεκριμένοι Ιρανοί hackers έχουν στο παρελθόν μεταμφιεστεί σε δημοσιογράφους και έχουν στοχεύσει ακαδημαϊκούς και εμπειρογνώμονες πολιτικής που διαμένουν στην περιοχή της Μέσης Ανατολής.
Ρώσοι και Ιρανοί hackers στοχεύουν το Ηνωμένο Βασίλειο με spear-phishing
Το NCSC εξηγεί ότι οι hackers πραγματοποιούν reconnaissance χρησιμοποιώντας open-source resources, όπως υπηρεσίες δικτύωσης (π.χ. LinkedIn), για να συγκεντρώσουν αρκετές πληροφορίες σχετικά με τους στόχους τους και να επινοήσουν πειστικά σενάρια για social engineering.
Και οι δύο ομάδες απειλών (Ιρανοί και Ρώσοι hackers) δημιουργούν πολλαπλούς ψεύτικους λογαριασμούς social media που υποδύονται ειδικούς ή δημοσιογράφους και στέλνουν email στους στόχους τους μέσω λογαριασμών Outlook, Gmail και Yahoo.
Δείτε επίσης: Realtek SDK ευπάθεια χρησιμοποιήθηκε σε 134 εκατ. επιθέσεις
Για να φαίνονται πιο πειστικοί, δημιουργούν επίσης κακόβουλα domains που μιμούνται νόμιμους οργανισμούς. Φροντίζουν να επιλέγουν οργανισμούς που βρίσκονται συνήθως στο πεδίο ενδιαφέροντος του στόχου.
Μόλις οι επιτιθέμενοι δημιουργήσουν μια σχέση με το θύμα, μοιράζονται έναν κακόβουλο σύνδεσμο που οδηγεί τον στόχο σε έναν ιστότοπο phishing. Από εκεί, οι hackers κλέβουν τα credentials του λογαριασμού email και έχουν πρόσβαση σε ολόκληρο το αρχείο πρόσφατων επικοινωνιών του στόχου.
Επιπλέον, οι εισβολείς θέτουν mail-forwarding rules στον λογαριασμό email του θύματος, έτσι ώστε να μπορούν να λαμβάνουν όλη τη μελλοντική αλληλογραφία μεταξύ του θύματος και των επαφών του.
Έτσι, μπορούν να παρακολουθούν τα μηνύματα του θύματος, χωρίς να χρειάζεται να συνδεθούν στον λογαριασμό του πολλές φορές και να ρισκάρουν την εμφάνιση προειδοποιήσεων στο θύμα.
NCSC: Προστασία
Αν και το spear-phishing είναι μια γνωστή τεχνική που χρησιμοποιείται από πολλούς hackers, η SEABORGIUM και η TA453 συνεχίζουν να τη χρησιμοποιούν με επιτυχία και να την εξελίσσουν, σύμφωνα με το NCSC.
Δείτε επίσης: Το FBI εισέβαλλε στα συστήματα της ομάδας Hive ransomware
Ο οργανισμός συνιστά τη χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε διαδικτυακή υπηρεσία και την ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), όπου είναι δυνατόν.
Επιπλέον, προτείνεται η ενεργοποίηση των αυτοματοποιημένων λειτουργιών σάρωσης email των παρόχων email και η απενεργοποίηση όλων των mail-forwarding rules.
Τέλος, όλα τα μηνύματα που αποστέλλονται από προσωπικές διευθύνσεις email θα πρέπει να αντιμετωπίζονται με καχυποψία, ειδικά όταν ο αποστολέας ισχυρίζεται ότι εκπροσωπεί έναν γνωστό και νόμιμο οργανισμό.
Το spear phishing είναι μια από τις πιο συνηθισμένες μορφές κυβερνοεπιθέσεων που χρησιμοποιούνται σήμερα και μπορεί να έχει σοβαρές επιπτώσεις τόσο για τους ιδιώτες όσο και για τις επιχειρήσεις, εάν δεν προστατευτούν σωστά.
Πηγή: www.bleepingcomputer.com