Σύμφωνα με την εταιρεία ασφαλείας Trend Micro, τον τελευταίο χρόνο, μία από τις κορυφαίες κρατικές hacking ομάδες της Ρωσίας ασχολείται με τη σάρωση του διαδικτύου για την ανίχνευση ευάλωτων email servers. Η εταιρεία δημοσίευσε χθες μια έκθεση, η οποία ασχολείται με τις δραστηριότητες της hacking ομάδας APT28, που είναι επίσης γνωστή ως Fancy Bear, Sednit και Pawn Storm.
Η συγκεκριμένη hacking ομάδα λέγεται ότι ενεργεί εξ’ ονόματος της ρωσικής στρατιωτικής υπηρεσίας πληροφοριών GRU. Δραστηριοποιείται από το 2004 και είναι μία από τις δύο ρωσικές ομάδες που παραβίασαν τον email server της DNC το 2016.
Η APT28 είναι μια από τις πιο σημαντικές αλλά και τις πιο παλιές κρατικές hacking ομάδες. Γι’ αυτό το λόγο οι ερευνητές έχουν καταφέρει να καταγράψουν και να αναλύσουν σε βάθος τις δραστηριότητές της. Η APT28 έχει συμπεριληφθεί σε πολλές εκθέσεις ερευνητών ασφαλείας.
Σύμφωνα με αυτές τις εκθέσεις, το βασικό όπλο της APT28, την τελευταία δεκαετία, ήταν η χρήση spear-phishing μεθόδων. Μέσω προσεκτικά επεξεργασμένων emails που απευθύνονται σε επιλεγμένους στόχους και με τη χρήση zero-day exploits, η APT28 έχει μολύνει θύματα με διάφορα malware, τα τελευταία 15 χρόνια.
Σάρωση διαδικτύου για ανίχνευση ευάλωτων email servers
Σύμφωνα με την τωρινή έκθεση της Trend Micro, η APT28 έχει αλλάξει λίγο τις επιχειρήσεις της και τις μεθόδους που χρησιμοποιεί.
Οι spear-phishing επιθέσεις και τα malware παραμένουν, ωστόσο τον τελευταίο χρόνο, έχει προστεθεί και η σάρωση του διαδικτύου για ευάλωτους email servers (webmail και Microsoft Exchange Autodiscover servers στις θύρες 445 και 1433).
Οι ερευνητές δεν γνωρίζουν τι κάνει η APT28 με τους ευάλωτους email servers που βρίσκει. Υποθέτουν ότι οι hackers παίρνουν τον έλεγχο του ευάλωτου συστήματος και κλέβουν δεδομένα ή χρησιμοποιούν τον server ως πιόνι για άλλες επιθέσεις.
Έλεγχος email λογαριασμών για phishing επιθέσεις
Πέρα από τις σαρώσεις του διαδικτύου, η APT28 ασχολείται και με άλλες δραστηρίοτητες, σύμφωνα με τη Trend Micro.
Μέσα από ένα δίκτυο VPN servers, η APT28 συνδέεται με παραβιασμένους email λογαριασμούς στους email servers νόμιμων εταιρειών.
Η Trend Micro πιστεύει ότι η APT28 στέλνει phishing emails στους υπαλλήλους των εταιρειών και κλέβει τα credentialsεταιρικών email λογαριασμών ή πραγματοποιεί brute-force επιθέσεις για να μαντέψει τους κωδικούς πρόσβασης.
Μόλις αποκτήσει τα credentials, χρησιμοποιεί ένα δίκτυο VPN servers και συνδέεται με τους λογαριασμούς χρησιμοποιώντας τους κλεμμένους κωδικούς πρόσβασης.
Έπειτα, η APT28 μπορεί να κλέψει δεδομένα ή να χρησιμοποιήσει τους λογαριασμούς για να στείλει phishing emails σε άλλα θύματα.
Αυτά τα emails φαίνεται να προέρχονται από πραγματικά πρόσωπα, από νόμιμες εταιρείες, οπότε μπορούν πιο εύκολα να εξαπατήσουν τα νέα θύματα. Στο μεταξύ, η APT28 μπορεί να συνεχίσει να κλέβει νέα δεδομένα κλπ.
Η Trend Micro αναφέρει ότι οι περισσότερες εταιρείες που έπεσαν θύματα αυτών των νέων επιθέσεων, βρίσκονται στα Ηνωμένα Αραβικά Εμιράτα και δραστηριοποιούνται στον τομέα της άμυνας.
Οι νέες τακτικές της APT28 δείχνουν ότι η ομάδα αλλάζει συνεχώς τους τρόπους επίθεσης για να γίνει ακόμα πιο αποτελεσματική και επικίνδυνη.
