Ερευνητές ανακάλυψαν μια νέα phishing εκστρατεία, which aims government services και σχετικές businesses σε όλο τον κόσμο. Στόχος των φορέων της επίθεσης είναι η theft of credentials of the victims.
Σύμφωνα με τα στοιχεία που υπάρχουν μέχρι στιγμής, η phishing εκστρατεία έχει στοχεύσει τουλάχιστον 22 διαφορετικούς οργανισμούς σε Ηνωμένες Πολιτείες, Καναδά, Κίνα, Αυστραλία, Σουηδία και άλλες χώρες. Τα phishing emails υποτίθεται ότι προέρχονται από οργανισμούς που σχετίζονται με τις στοχευμένες κυβερνητικές υπηρεσίες. Το περιεχόμενο του μηνύματος προσπαθεί να ξεγελάσει τα victims και να τα κάνει να ανοίξουν ένα email link, που ζητάει το όνομα χρήστη και τον κωδικό πρόσβασής τους.
Στην ουσία, τα θύματα νομίζουν ότι εισάγουν τα credentials τους σε ένα επίσημο κυβερνητικό site. Ωστόσο, το site είναι ψεύτικο και κλέβει τα credentials των users. Μετά από αυτό, οι hackers μπορούν να έχουν Accessed at στον λογαριασμό των θυμάτων.
Η εκστρατεία ανακαλύφθηκε από τους ερευνητές της εταιρείας Anomali. Ωστόσο, οι ειδικοί δεν γνωρίζουν ακόμα ποιοι βρίσκονται πίσω από αυτή την phishing εκστρατεία και ποια είναι τα βασικά τους κίνητρα. Μια υπόθεση είναι ότι οι hackers θέλουν να κατασκοπεύσουν τις στοχευμένες κυβερνητικές υπηρεσίες.
Οι περισσότερες από τις επιθέσεις επικεντρώνονται στις ίδιες τις κυβερνητικές υπηρεσίες, αλλά έχουν γίνει και μερικές attacks σε επιχειρήσεις προμηθειών και εταιρείες logistics που σχετίζονται με τους στόχους.
Η χώρα που έχει δεχτεί τις περισσότερες επιθέσεις στα πλαίσια αυτής της εκστρατείας είναι οι USA. Οι βασικότεροι στόχοι των hackers ήταν το Υπουργείο Ενέργειας, το Υπουργείο Εμπορίου και το Υπουργείο Υποθέσεων των Βετεράνων.
Σύμφωνα με τους ερευνητές, οι φορείς των επιθέσεων κάνουν πολύ προσεκτική δουλειά. Για καθέναν από τους στόχους τους, στέλνουν συγκεκριμένα emails που ταιριάζουν απόλυτα με την κάθε υπηρεσία. Σε όλες τις περιπτώσεις, τα phishing emails είναι γραμμένα στη μητρική γλώσσα της χώρας της στοχευμένης υπηρεσίας.
Για παράδειγμα, ένα phishing email που στοχεύει το Υπουργείο Εμπορίου των ΗΠΑ αναφέρει ότι περιέχει information σχετικά με την υποβολή προσφορών για διάφορα εμπορικά products και υπηρεσίες. Στο τέλος, ζητά από το θύμα να ανοίξει ένα έγγραφο. Το έγγραφο αυτό περιέχει έναν σύνδεσμο που ο χρήστης καλείται, επίσης, να ανοίξει. Αυτός ο σύνδεσμος οδηγεί σε phishing site που ελέγχεται από τους hackers.
Τόσο τα emails όσο και το έγγραφο και το phishing site έχουν σχεδιαστεί με τέτοιο τρόπο ώστε να μοιάζουν αυθεντικά. Για παράδειγμα, το phishing site μοιάζει πολύ με αυτό του οργανισμού ή της εταιρείας που στοχεύει.
Παρόλο που δεν είναι γνωστή η πηγή της phishing εκστρατείας, τα domains φιλοξενούνται στην Τουρκία και τη Ρουμανία. Ωστόσο, οι hackers θα μπορούσαν να χρησιμοποιήσουν οποιαδήποτε χώρα για να φιλοξενήσουν τα domains του. Κατά την έρευνα της Anomali, αποκαλύφθηκαν συνολικά 62 domains και 122 phishing sites.
Οι ερευνητές έχουν ειδοποιήσει τις σχετικές ομάδες CERT (Computer Emergency Response Teams) για τις επιθέσεις.
However, υπάρχουν πράγματα που οι οργανισμοί και οι υπηρεσίες μπορούν να κάνουν για να προστατευθούν από αυτή τη phishing εκστρατεία αλλά και οποιαδήποτε άλλη παρόμοια επίθεση.
Σύμφωνα με τους ερευνητές, όλοι οι οργανισμοί θα πρέπει να ενημερώνονται για τις τρέχουσες threats at cyberspace και να ενσωματώσουν την Research στις υποδομές ασφαλείας τους, ώστε να μπορούν να ανιχνεύουν, να μπλοκάρουν και γενικά να ανταποκρίνονται άμεσα σε μια πιθανή επίθεση.
Η Education and the Awareness raising σχετικά με την ασφάλεια είναι απαραίτητες, ώστε να μπορούν οι employees να αναγνωρίζουν ύποπτα phishing emails.
Ο πλήρης κατάλογος των θυμάτων της phishing εκστρατείας και άλλες λεπτομέρειες βρίσκονται στο ερευνητικό document της Anomali.
