Έρευνες - Μελέτες

Ο πόλεμος Ρωσίας-Ουκρανίας δόλωμα για Κυβερνοκατασκοπεία

internet_r_1603_1-scaled

Ως κερκόπορτα για να ασκήσουν τις εγκληματικές τους δραστηριότητες βλέπουν οι ψηφιακοί εγκληματίες τη ρωσική εισβολή στην Ουκρανία. Η Check Point Research (CPR) προειδοποιεί για ομάδες απειλής σε όλο τον κόσμο, που χρησιμοποιούν έγγραφα, σχετιζόμενα με τη σύγκρουση Ρωσίας/Ουκρανίας, για να διαδώσουν κακόβουλο λογισμικό και να παρασύρουν τα θύματα τους σε κατασκοπεία στον κυβερνοχώρο.

Ομάδες απειλής χρησιμοποιούν έγγραφα σχετιζόμενα με τη σύγκρουση Ρωσίας/Ουκρανίας για να διαδώσουν κακόβουλο λογισμικόΣε μια νέα αναφορά, η CPR παρουσιάζει τρεις ομάδες APT, με τα ονόματα El Machete, Lyceum και SideWinder, οι οποίες διαπιστώθηκε ότι εκτελούσαν εκστρατείες ψαρέματος θυμάτων σε πέντε χώρες. Οι επιτιθέμενοι, ανάλογα με τους στόχους και την περιοχή, χρησιμοποιούν ως δόλωμα έγγραφα που έχουν επίσημη εμφάνιση, μέχρι και άρθρα ειδήσεων και αγγελίες εργασίας.

Μετά την εξέταση των εγγράφων αυτών, η CPR βρήκε κακόβουλο λογισμικό ικανό για καταγραφή πληκτρολογίου, λήψη στιγμιότυπων οθόνης και εκτέλεση εντολών. Η CPR πιστεύει ότι το κίνητρο πίσω από αυτές τις πρόσφατες εκστρατείες κατασκοπείας στον κυβερνοχώρο είναι η κλοπή ευαίσθητων πληροφοριών από κυβερνήσεις, τράπεζες και εταιρείες ενέργειας.

Σύμφωνα με στοιχεία της CPR, Οι ομάδες απειλών και τα θύματά τους δεν συγκεντρώνονται σε μία περιοχή, αλλά καλύπτουν όλο τον κόσμο, συμπεριλαμβανομένης της Λατινικής Αμερικής, της Μέσης Ανατολής και της Ασίας. Συγκεκριμένα, θύματα έχουν εντοπιστεί στη Νικαράγουα, τη Βενεζουέλα, το Ισραήλ, τη Σαουδική Αραβία και το Πακιστάν.

Τα θύματα
Η CPR πιστεύει ότι το κίνητρο πίσω από αυτές τις πρόσφατες εκστρατείες είναι η κατασκοπεία στον κυβερνοχώρο, για την κλοπή ευαίσθητων πληροφοριών από κυβερνήσεις, τράπεζες και εταιρείες ενέργειας. Δεν είναι τυχαίο ότι τα θύματα, όπως δείχνουν τα ίδια στοιχεία, προέρχονται από τον κυβερνητικό, τον χρηματοοικονομικό και τον ενεργειακό τομέα

Οι αναλυτές της εταιρείας συνεχίζουν να παρατηρούν αύξηση στις επιθέσεις στον κυβερνοχώρο τόσο στην Ουκρανία όσο και στη Ρωσία, +39% και +22% αντίστοιχα, από την αρχή του πολέμου.

Πώς λειτουργεί
Η CPR μελέτησε το κακόβουλο λογισμικό που περιείχε καθεμία από τις τρεις ομάδες APT, ειδικά για αυτές τις δραστηριότητες κατασκοπείας στον κυβερνοχώρο.

Από τις τρεις ομάδες APT το El Machete εθεάθη να στέλνει spear-phishing μηνύματα σε χρηματοοικονομικούς οργανισμούς στη Νικαράγουα, με συνημμένο έγγραφο Word με τίτλο «Σκοτεινά σχέδια του νεοναζιστικού καθεστώτος στην Ουκρανία». Το έγγραφο περιείχε ένα άρθρο που γράφτηκε και δημοσιεύτηκε από τον Alexander Khokholikov, τον Ρώσο πρεσβευτή στη Νικαράγουα, το οποίο συζητούσε τη ρωσο-ουκρανική σύγκρουση από την οπτική γωνία του Κρεμλίνου.

Από την άλλη, το κακόβουλο έγγραφο Sidewinder, το οποίο επίσης εκμεταλλεύεται τον πόλεμο Ρωσίας-Ουκρανίας, ανέβηκε στο VirusTotal (VT) στα μέσα Μαρτίου. Κρίνοντας από το περιεχόμενό του, οι επιθυμητοί στόχοι είναι Πακιστανικές οντότητες.

Το έγγραφο δόλωμα περιέχει αρχείο του National Institute of Maritime Affairs του Πανεπιστημίου Bahria στο Ισλαμαμπάντ και τιτλοφορείται «Συζήτηση για τον αντίκτυπο της σύγκρουσης Ρωσίας-Ουκρανίας στο Πακιστάν». Αυτό το κακόβουλο έγγραφο χρησιμοποιεί απομακρυσμένη εισροή προτύπου. Όταν ανοίξει, το έγγραφο ανακτά ένα απομακρυσμένο πρότυπο από έναν ελεγχόμενο server από τους επιτιθέμενους.