Σύνθετες ψηφιακές επιθέσεις με το χαμηλότερο δυνατό κόστος

Νέων μέσων μετέρχονται διαρκώς οι ψηφιακοί εγκληματίες, με τις ψηφιακές επιθέσεις να γίνονται, πλέον, όλο και πιο σύνθετες, με όλο και χαμηλότερο κόστος. Οι ερευνητές εντοπίζουν μια νέα και μάλλον σημαντική τάση στο πώς λειτουργούν οι περίπλοκοι απειλητικοί φορείς.

Οι ερευνητές της Kaspersky Lab παρατηρούν ότι είναι, πλέον, όλο και πιο κοινό για τους απειλητικούς φορείς να μην χρησιμοποιούν εξελιγμένες και δαπανηρές τεχνικές επίθεσης, όπως zero-day ευπάθειες, αλλά εκστρατείες κοινωνικής μηχανικής, εξαιρετικά στοχευμένες, σε συνδυασμό με γνωστές αποτελεσματικές κακόβουλες τεχνικές. Ως αποτέλεσμα, οι κυβερνο-εγκληματίες είναι σε θέση να εκμεταλλεύονται κακόβουλες εκστρατείες, που είναι εξαιρετικά δύσκολο να εντοπιστούν με τις συνήθεις λύσεις διασφάλισης εταιρικής ποιότητας. 

Φαίνεται ότι ορισμένοι απειλητικοί φορείς ψηφιακής κατασκοπείας μετατοπίζουν την εστίαση τους από την ανάπτυξη κακόβουλων εργαλείων που είναι δύσκολο να ανιχνευθούν, στο σχεδιασμό και την παροχή εξελιγμένων λειτουργιών, οι οποίες μπορεί να μην περιλαμβάνουν περίπλοκο κακόβουλο λογισμικό, αλλά να είναι επικίνδυνες. Σύμφωνα με την εταιρεία, αυτή η μετατόπιση του τρόπου λειτουργίας των απειλητικών φορέων αποδεικνύει ότι, γενικά, η υποδομή Πληροφορικής των σύγχρονων οργανισμών περιέχει αρκετές αδυναμίες, για να επιτρέψει στους επιτιθέμενους με σχετικά φθηνά εργαλεία επίθεσης να επιτύχουν τους εγκληματικούς τους στόχους. 

Εκστρατεία 

Η Microcin, μια κακόβουλη εκστρατεία που έχει διερευνηθεί πρόσφατα, αποτελεί παράδειγμα μιας τόσο χαμηλού κόστους, αλλά επικίνδυνης επίθεσης. Όλα ξεκίνησαν, όταν η πλατφόρμα Kaspersky Anti Targeted Attack Platform, ανακάλυψε ύποπτο RTF αρχείο. Δεν είναι ασυνήθιστο οι τακτικοί ψηφιακοί εγκληματίες να χρησιμοποιούν εκμεταλλεύσεις γνωστών τρωτών σημείων για να “μολύνουν” τα θύματα τους με κοινό, μαζικά κατανεμημένο κακόβουλο λογισμικό. Αλλά, όπως έδειξε αναλυτικότερη έρευνα, το συγκεκριμένο RTF αρχείο δεν ανήκε σε άλλο μεγάλο κύμα “μόλυνσης”, αλλά σε πολύ πιο εξελιγμένη και εξαιρετικά στοχευμένη εκστρατεία.   

Το ύποπτο spear-phishing έγγραφο διανεμήθηκε μέσω ιστότοπων για μια πολύ συγκεκριμένη ομάδα ανθρώπων: φόρουμ για τη συζήτηση θεμάτων που σχετίζονται με τη λήψη επιδοτούμενων κατοικιών - μια απαλλαγή διαθέσιμη κυρίως για υπαλλήλους κυβερνητικών και στρατιωτικών οργανισμών στη Ρωσία και σε ορισμένες γειτονικές χώρες.

Όταν ενεργοποιηθεί το exploit, εγκαθίσταται στον υπολογιστή-στόχο κακόβουλο πρόγραμμα με αρθρωτή δομή. Όταν εγκατασταθεί η κύρια μονάδα, “κατεβάζονται” ορισμένες πρόσθετες μονάδες από τον command and control server. Μόλις αναπτυχθεί ολόκληρη η κακόβουλη πλατφόρμα, το κακόβουλο λογισμικό αναζητά αρχεία με επεκτάσεις όπως .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt και .rtf., τα οποία στη συνέχεια ομαδοποιούνται σε ένα αρχείο που προστατεύεται με κωδικό πρόσβασης και μεταφέρεται στους χειριστές της επίθεσης. 

Με πληροφορίες από sepe.gr