Νέα εκστρατεία ψηφιακής κατασκοπείας κυβερνητικών φορέων της Ρωσίας

Οι ειδικοί της Kaspersky πρόσφατα αποκάλυψαν μία νέα σειρά επιθέσεων τύπου APT (Advanced Persistent Threat) από την Awaken Likho με στόχο κυβερνητικούς και βιομηχανικούς τομείς στη Ρωσία. Η απειλητική ομάδα, που είναι ακόμα ενεργή, έχει προσαρμόσει τις τακτικές της για να βελτιώσει την αποτελεσματικότητα των επιθέσεών της και να αποφύγει τον εντοπισμό της. Σε αυτή την τελευταία εκστρατεία, οι επιτιθέμενοι χρησιμοποιούν το MeshCentral, μια δωρεάν, διαδικτυακή πλατφόρμα για τον εξ αποστάσεως χειρισμό συστημάτων υπολογιστών, κάνοντας στροφή από την πρότερη χρήση του λογισμικού UltraVNC.

Η Awaken Likho, γνωστή και ως Core Werewolf, είναι μια ομάδα APT που δραστηριοποιείται από το 2021 τουλάχιστον, αλλά παρουσίασε σημαντική αύξηση δραστηριότητας μετά το ξέσπασμα της σύρραξης ανάμεσα στη Ρωσία και την Ουκρανία. Κατά τη διεξαγωγή της έρευνας της Kaspersky σχετικά με τις δραστηριότητες της ομάδας, οι ειδικοί αποκάλυψαν μια νέα κακόβουλη εκστρατεία που ξεκίνησε τον Ιούνιο του 2024 και συνεχίστηκε τουλάχιστον μέχρι τον Αύγουστο. Αυτή η εκστρατεία με στόχο την κυβερνοκατασκοπεία και την ανάληψη ελέγχου συσκευών στοχοποιούσε συγκεκριμένα κυβερνητικούς και βιομηχανικούς οργανισμούς στη Ρωσία και τους συνεργάτες τους.

Η ανάλυση της Kaspersky αποκαλύπτει ότι η πρόσφατη εκστρατεία έφερε αλλαγές στα εργαλεία και τις τεχνικές της ομάδας. Οι επιτιθέμενοι χρησιμοποίησαν το MeshCentral, μια διαδικτυακή πλατφόρμα ανοιχτού κώδικα για απομακρυσμένη πρόσβαση στην επιφάνεια εργασίας, διαχείριση συσκευών, μεταφορά αρχείων και παρακολούθηση σε πραγματικό χρόνο. Για να δημιουργηθεί μια βάση μέσα στο δίκτυο, μεταφορτώθηκε στις συσκευές των θυμάτων ένα εμφύτευμα από κακόβουλη διεύθυνση URL, όπως φαίνεται, μέσω στοχευμένων μηνυμάτων phishing. Σε προηγούμενες παρόμοιες εκστρατείες, οι επιτιθέμενοι είχαν χρησιμοποιήσει μηχανές αναζήτησης για να συλλέξουν αναλυτικές πληροφορίες σχετικά με τα θύματα και να συντάξουν e-mail που φαίνονταν νόμιμα. Αυτά τα e-mail περιλάμβαναν αρχεία αυτόματης εξαγωγής (SFX) και κακόβουλους συνδέσμους, οι οποίοι, μόλις άνοιγαν, εγκαθιστούσαν έναν ιό σχεδιασμένο για κυβερνοκατασκοπεία.

Χάρη στις τακτικές τους, οι επιτιθέμενοι μπορούσαν να αποκτήσουν πρόσβαση σε ευαίσθητα κυβερνητικά και βιομηχανικά δεδομένα, συμπεριλαμβανομένων εμπιστευτικών πληροφοριών, σχεδίων, επικοινωνιών και λεπτομερειών σχετικά με δομικές λειτουργίες. Επιπλέον, μπορούσαν να αποκτήσουν πλήρη έλεγχο των συσκευών των θυμάτων, επιτρέποντάς τους να διαταράξουν εργασιακές λειτουργίες, να χειραγωγήσουν συστήματα ή να ξεκινήσουν περαιτέρω επιθέσεις εντός των παραβιασμένων δικτύων. Με βάση τις τακτικές, τεχνικές και διαδικασίες (TTP) που χρησιμοποιούνται, καθώς και τις πληροφορίες σχετικά με τα θύματα, οι ειδικοί της Kaspersky αποδίδουν αυτή την εκστρατεία στην ομάδα APT Awaken Likho με μεγάλη βεβαιότητα.

Για να αποφύγετε το ενδεχόμενο στοχευμένης επίθεσης από γνωστό ή άγνωστο επιτήδειο, οι ερευνητές της Kaspersky συνιστούν την εφαρμογή των ακόλουθων μέτρων:

• Δώστε στην ομάδα SOC σας πρόσβαση στην πιο πρόσφατη πληροφόρηση απειλών (TI). Το Kaspersky Threat Intelligence είναι ένα ενιαίο σημείο πρόσβασης για το TI της εταιρείας, που παρέχει δεδομένα ψηφιακών επιθέσεων και πληροφορίες που συλλέγονται από την Kaspersky για πάνω από 20 χρόνια.

• Αναβαθμίστε την ομάδα ψηφιακής ασφάλειας για να αντιμετωπίσετε τις πιο πρόσφατες στοχευμένες απειλές με το online training της Kaspersky, που αναπτύχθηκε από ειδικούς της GreAT.

• Για τον εντοπισμό, τη διερεύνηση και την έγκαιρη αποκατάσταση περιστατικών σε επίπεδο τερματικού σημείου, εφαρμόστε λύσεις EDR, όπως το Kaspersky Endpoint Detection and Response.

• Με την απόκτηση της απαραίτητης προστασίας τερματικού σημείου, εφαρμόστε μια μέθοδο ασφάλειας εταιρικού επιπέδου που ανιχνεύει εξελιγμένες απειλές στο δίκτυο σε πρώιμο στάδιο.

Καθώς πολλές στοχευμένες επιθέσεις ξεκινούν με phishing ή άλλες τεχνικές κοινωνικής μηχανικής, παρέχετε μια εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια και διδάξτε πρακτικές δεξιότητες στην ομάδα σας.

ΤΕΥΧΟΣ 600