Οι εκστρατείες spear-phishing για το θέμα Ρωσίας-Ουκρανίας που εντόπισε η CPR

Η Check Point Research (CPR) έχει καταγράψει ομάδες απειλής να χρησιμοποιούν έγγραφα με θέμα τη σύγκρουση Ρωσίας/Ουκρανίας για να διαδώσουν κακόβουλο λογισμικό και να παρασύρουν θύματα σε κατασκοπεία στον κυβερνοχώρο παγκοσμίως. Ανάλογα με τους στόχους και την περιοχή, οι επιτιθέμενοι χρησιμοποιούν ως δόλωμα έγγραφα που έχουν επίσημη εμφάνιση, μέχρι και άρθρα ειδήσεων και αγγελίες εργασίας. Η CPR πιστεύει ότι το κίνητρο πίσω από αυτές τις πρόσφατες εκστρατείες είναι η κατασκοπεία στον κυβερνοχώρο, για την κλοπή ευαίσθητων πληροφοριών από κυβερνήσεις, τράπεζες και εταιρείες ενέργειας. Οι ομάδες απειλών και τα θύματά τους δεν συγκεντρώνονται σε μία περιοχή, αλλά καλύπτουν όλο τον κόσμο, συμπεριλαμβανομένης της Λατινικής Αμερικής, της Μέσης Ανατολής και της Ασίας.

Σε μια νέα δημοσίευση, η CPR παρουσιάζει τα προφίλ τριών ομάδων APT, που ονομάζονται El Machete, Lyceum και Sidewinder, οι οποίες εντοπίστηκαν πρόσφατα να διεξάγουν εκστρατείες spear-phishing σε πέντε χώρες. Ο παρακάτω πίνακας συνοψίζει την προέλευση, τον τομέα-στόχο και τις χώρες-στόχους κάθε ομάδας APT.

Η CPR μελέτησε το κακόβουλο λογισμικό που περιείχε καθεμία από τις τρεις ομάδες APT, ειδικά για αυτές τις δραστηριότητες κατασκοπείας στον κυβερνοχώρο. Οι δυνατότητες περιλαμβάνουν:

• Keylogging: κλέβει ό,τι εισάγεται χρησιμοποιώντας το πληκτρολόγιο
• Συλλογή διαπιστευτηρίων: συλλέγει διαπιστευτήρια που είναι αποθηκευμένα σε προγράμματα περιήγησης Chrome και Firefox
• Συλλογή αρχείων: συλλέγει πληροφορίες σχετικά με τα αρχεία σε κάθε μονάδα δίσκου και συλλέγει ονόματα αρχείων και μεγέθη αρχείων, επιτρέποντας την κλοπή συγκεκριμένων αρχείων
• Στιγμιότυπο οθόνης (Screenshot)
• Συλλογή δεδομένων από το clipboard
• Εκτέλεση εντολών

Η μέθοδο που ακολουθούσαν και το περιεχόμενο που μοιράζονταν με τους στόχους τους 

El Machete

Το  Machete εθεάθη να στέλνει spear-phishing μηνύματα σε χρηματοοικονομικούς οργανισμούς στη Νικαράγουα, με συνημμένο έγγραφο Word με τίτλο «Σκοτεινά σχέδια του νεοναζιστικού καθεστώτος στην Ουκρανία». Το έγγραφο περιείχε ένα άρθρο που γράφτηκε και δημοσιεύτηκε από τον Alexander Khokholikov, τον Ρώσο πρεσβευτή στη Νικαράγουα, το οποίο συζητούσε τη ρωσο-ουκρανική σύγκρουση από την οπτική γωνία του Κρεμλίνου.

Lyceum

Στα μέσα Μαρτίου, μια ισραηλινή εταιρεία ενέργειας έλαβε ένα email από τη διεύθυνση [email protected][.]com με θέμα «Ρωσικά εγκλήματα πολέμου στην Ουκρανία». Το email περιείχε μερικές φωτογραφίες που ελήφθησαν από πηγές δημόσιων μέσων και περιείχε έναν σύνδεσμο προς ένα άρθρο που φιλοξενήθηκε στο news-spot[.]live domain. Ο σύνδεσμος στο email οδηγεί σε ένα έγγραφο που περιέχει το άρθρο «Οι ερευνητές συγκεντρώνουν στοιχεία για πιθανά ρωσικά εγκλήματα πολέμου στην Ουκρανία» που δημοσιεύτηκε από τον Guardian. Το ίδιο domain φιλοξενεί μερικά ακόμη κακόβουλα έγγραφα που σχετίζονται με τη Ρωσία καθώς και με τον πόλεμο Ρωσίας-Ουκρανίας, όπως ένα αντίγραφο ενός άρθρου του The Atlantic Council από το 2020 σχετικά με τα ρωσικά πυρηνικά όπλα και μια αγγελία εργασίας για έναν “Extraction / Protective Agent” πράκτορα στην Ουκρανία.

SideWinder

Το κακόβουλο έγγραφο του Sidewinder, το οποίο επίσης εκμεταλλεύεται τον πόλεμο Ρωσίας-Ουκρανίας, ανέβηκε στο VirusTotal (VT) στα μέσα Μαρτίου. Κρίνοντας από το περιεχόμενό του, οι επιθυμητοί στόχοι είναι Πακιστανικές οντότητες. Το έγγραφο δόλωμα περιέχει αρχείο του National Institute of Maritime Affairs του Πανεπιστημίου Bahria στο Ισλαμαμπάντ και τιτλοφορείται «Συζήτηση για τον αντίκτυπο της σύγκρουσης Ρωσίας-Ουκρανίας στο Πακιστάν». Αυτό το κακόβουλο έγγραφο χρησιμοποιεί απομακρυσμένη εισροή προτύπου. Όταν ανοίξει, το έγγραφο ανακτά ένα απομακρυσμένο πρότυπο από έναν ελεγχόμενο server από τους επιτιθέμενους.

«Αυτή τη στιγμή, βλέπουμε μια ποικιλία από καμπάνιες APT που χρησιμοποιούν τον πόλεμο Ρωσίας-Ουκρανίας για διανομή κακόβουλου λογισμικού. Οι εκστρατείες είναι ιδιαίτερα στοχευμένες και εξελιγμένες, εστιάζοντας στον κυβερνητικό, τον χρηματοοικονομικό και τον ενεργειακό τομέα. Στην πιο πρόσφατη αναφορά μας, παρουσιάζουμε προφίλ και φέρνουμε παραδείγματα από τρεις διαφορετικές ομάδες APT, που προέρχονται όλες από διαφορετικά μέρη του κόσμου, τις οποίες εντοπίσαμε να ενορχηστρώνουν αυτές τις εκστρατείες spear–phishing.

Μελετήσαμε προσεκτικά το κακόβουλο λογισμικό που εμπλέκεται και βρήκαμε δυνατότητες που καλύπτουν την καταγραφή πληκτρολογίου, τη λήψη στιγμιότυπων οθόνης και πολλά άλλα. Πιστεύω ακράδαντα ότι αυτές οι εκστρατείες έχουν σχεδιαστεί με βασικό κίνητρο την κατασκοπεία στον κυβερνοχώρο. Τα ευρήματά μας αποκαλύπτουν μια σαφή τάση, ότι αφορά στον πόλεμο μεταξύ Ρωσίας και Ουκρανίας είναι δόλωμα που χρησιμοποιούν ομάδες απειλής παγκοσμίως. Συνιστώ ανεπιφύλακτα στις κυβερνήσεις, τις τράπεζες και τις εταιρείες ενέργειας να ενεργοποιηθούν όσον αφορά στην ευαισθητοποίηση και εκπαίδευση των εργαζομένων τους για την κυβερνοασφάλεια και να εφαρμόσουν λύσεις κυβερνοασφάλειας που προστατεύουν το δίκτυο τους σε όλα τα επίπεδα», σχολίασε σχετικά ο Sergey Shykevich, Threat Intelligence Group Manager στην Check Point Software.

Πρόσφατα, η Check Point Research (CPR) δημοσίευσε μια ενημέρωση σχετικά με τις τάσεις των επιθέσεων στον κυβερνοχώρο κατά τη διάρκεια του τρέχοντος πολέμου Ρωσίας-Ουκρανίας. Ένα μήνα μετά την έναρξη του πολέμου στις 24 Φεβρουαρίου 2022, τόσο η Ρωσία όσο και η Ουκρανία είδαν αυξήσεις στις κυβερνοεπιθέσεις κατά 10% και 17% αντίστοιχα. Η CPR έχει επίσης παρατηρήσει αύξηση 16% στις κυβερνοεπιθέσεις παγκοσμίως καθ’ όλη τη διάρκεια της τρέχουσας σύγκρουσης και παρουσιάζει δεδομένα κυβερνοεπιθέσεων για χώρες, περιοχές του ΝΑΤΟ και άλλα εδώ.