Κυβερνοασφάλεια: Οι νέες τακτικές επίθεσης σε βιομηχανίες

Οι ειδικοί της Kaspersky ανακάλυψαν μια νέα, ραγδαία εξελισσόμενη, σειρά εκστρατειών λογισμικού κατασκοπείας (spyware), που έχουν επιτεθεί σε περισσότερες από 2.000 βιομηχανικές επιχειρήσεις παγκοσμίως. Σε αντίθεση με πολλές mainstream εκστρατείες λογισμικού κατασκοπείας, οι εν λόγω επιθέσεις ξεχωρίζουν λόγω του περιορισμένου αριθμού στόχων σε κάθε επίθεση και της ιδιαίτερα σύντομης διάρκειας ζωής κάθε κακόβουλου δείγματος. Η μελέτη εντόπισε περισσότερες από 25 αγορές όπου κλεμμένα δεδομένα διατίθενται προς πώληση. Αυτά και πολλά επιπλέον ευρήματα δημοσιεύτηκαν στη νέα έκθεση ICS CERT της Kaspersky.

Κατά το πρώτο εξάμηνο του 2021, οι ειδικοί του Kaspersky ICS CERT παρατήρησαν μια ασυνήθιστη ανωμαλία στα στατιστικά στοιχεία που αναφέρονταν στις απειλές λογισμικών κατασκοπείας, τα οποία είχαν αποκλειστεί σε υπολογιστές ICS. Παρόλο που το κακόβουλο λογισμικό που χρησιμοποιείται στις συγκεκριμένες επιθέσεις συμπεριλαμβάνεται σε γνωστές οικογένειες λογισμικών κατασκοπείας, όπως οι Agent Tesla/Origin Logger, HawkEye και άλλες, οι εν λόγω επιθέσεις ξεχωρίζουν από τις mainstream λόγω του εξαιρετικά περιορισμένου αριθμού στόχων σε κάθε επίθεση (από ελάχιστοι έως ορισμένες δωδεκάδες) και την πολύ σύντομη διάρκεια ζωής κάθε κακόβουλου δείγματος.

Μια πιο λεπτομερής ανάλυση 58.586 δειγμάτων λογισμικού κατασκοπείας που αποκλείστηκαν σε υπολογιστές ICS κατά το πρώτο εξάμηνο του 2021, αποκάλυψε ότι περίπου το 21,2% αυτών ήταν μέρος της νέας αυτής σειράς επιθέσεων περιορισμένου εύρους και σύντομης διάρκειας. Ο κύκλος ζωής τους περιορίζεται σε περίπου 25 ημέρες, διάστημα αρκετά συντομότερο από τη διάρκεια ζωής μιας «παραδοσιακής» εκστρατείας λογισμικού κατασκοπείας.

Αν και καθένα από αυτά τα «αντικανονικά» δείγματα λογισμικού κατασκοπείας είναι βραχύβιο και δεν διανέμεται ευρέως, στο σύνολό τους αντιπροσωπεύουν ένα δυσανάλογα μεγάλο μερίδιο του συνόλου των επιθέσεων λογισμικού κατασκοπείας. Στην Ασία, για παράδειγμα, ένας στους έξι υπολογιστές που δέχτηκε επίθεση spyware, προσβλήθηκε από κάποιο από τα προαναφερθέντα δείγματα λογισμικού αυτής της κατηγορίας (2,1% από το 11,9%).

Αξίζει να σημειωθεί ότι οι περισσότερες από αυτές τις εκστρατείες εξαπλώνονται από τη μια βιομηχανική επιχείρηση στην άλλη μέσω καλοφτιαγμένων μηνυμάτων phishing. Αφού διεισδύσει στο σύστημα του θύματος, ο εισβολέας χρησιμοποιεί τη συσκευή ως διακομιστή C2 (εντολών και ελέγχου) για την επόμενη επίθεση. Χάρη στην πρόσβαση στη λίστα ηλεκτρονικής αλληλογραφίας του θύματος, οι εγκληματίες μπορούν να παραβιάσουν το εταιρικό email και να διασπείρουν το λογισμικό κατασκοπείας ευρύτερα.

Σύμφωνα με την τηλεμετρία του Kaspersky ICS CERT, περισσότεροι από 2.000 βιομηχανικοί οργανισμοί ανά τον κόσμο έχουν ενσωματωθεί στην κακόβουλη δομή και έχουν χρησιμοποιηθεί από συμμορίες εγκληματιών του κυβερνοχώρου για τη διασπορά επιθέσεων σε οργανισμούς με τους οποίους έχουν επαφή καθώς και στους επιχειρηματικούς εταίρους τους. Υπολογίζουμε ότι ο συνολικός αριθμός των παραβιασμένων ή κλεμμένων εταιρικών λογαριασμών ως αποτέλεσμα αυτών των επιθέσεων είναι πάνω από 7.000.

Τα ευαίσθητα δεδομένα που λαμβάνονται από υπολογιστές ICS συχνά καταλήγουν σε διάφορες αγορές. Οι ειδικοί της Kaspersky εντόπισαν περισσότερες από 25 διαφορετικές αγορές όπου πωλούνταν τα κλεμμένα διαπιστευτήρια από αυτές τις βιομηχανικές εκστρατείες. Η ανάλυση των εν λόγω αγορών αποκάλυψε υψηλή ζήτηση για διαπιστευτήρια εταιρικού λογαριασμού, ειδικά για λογαριασμούς απομακρυσμένης επιφάνειας εργασίας (RDP). Πάνω από το 46% όλων των λογαριασμών RDP που πωλούνται σε αγορές και αποτέλεσαν αντικείμενα ανάλυσης ανήκουν σε εταιρείες στις ΗΠΑ, ενώ οι υπόλοιποι προέρχονται από την Ασία, την Ευρώπη ή τη Λατινική Αμερική. Σχεδόν το 4% (περίπου 2.000 λογαριασμοί) όλων των λογαριασμών RDP που πωλήθηκαν ανήκαν σε βιομηχανικές επιχειρήσεις.

Μια ακόμη αναπτυσσόμενη αγορά είναι το Spyware-as-a-Service. Δεδομένου ότι οι πηγαίοι κώδικες ορισμένων δημοφιλών προγραμμάτων κατασκοπείας έχουν δημοσιοποιηθεί, η διαθεσιμότητά τους στα ηλεκτρονικά καταστήματα με τη μορφή υπηρεσίας έχει αυξηθεί – οι προγραμματιστές προσφέρουν επί πληρωμή όχι μόνο το κακόβουλο λογισμικό ως προϊόν αλλά και την άδεια για ένα πρόγραμμα δημιουργίας κακόβουλου λογισμικού, καθώς και πρόσβαση σε μια δομή διαμορφωμένη εκ των προτέρων για τη δημιουργία του κακόβουλου λογισμικού.