«Operation Ghoul»: Φορέας εναντίον του βιομηχανικού κλάδου

by George Polyzos • On 27-08-2016 • AT 10:23 am • ΚΑΝΕΝΑ ΣΧΟΛΙΟ
Computing

laptop-user

Η Kaspersky Lab ανακάλυψε ένα νέο κύμα στοχευμένων επιθέσεων εναντίον του βιομηχανικού και του μηχανολογικού κλάδου σε πολλές χώρες, ανά τον κόσμο.

Χρησιμοποιώντας μηνύματα (e-mail) spear-phishing και κακόβουλο λογισμικό με βάση ένα εμπορικό spyware kit, οι εγκληματίες προσπαθούν να αποσπάσουν πολύτιμα επιχειρηματικά δεδομένα, που βρίσκονται αποθηκευμένα στα δίκτυα των θυμάτων τους. Συνολικά, πάνω από 130 οργανισμοί από 30 χώρες, μεταξύ των οποίων η Ισπανία, το Πακιστάν, τα Ηνωμένα Αραβικά Εμιράτα, η Ινδία, η Αίγυπτος, το Ηνωμένο Βασίλειο, η Γερμανία, η Σαουδική Αραβία κ.ά., έπεσαν θύματα επιτυχημένων επιθέσεων από την συγκεκριμένη ομάδα.

Τον Ιούνιο του 2016, οι ερευνητές της Kaspersky Lab εντόπισαν ένα κύμα μηνυμάτων spear-phishing, που περιλάμβαναν κακόβουλα συνημμένα αρχεία. Τα μηνύματα αυτά είχαν αποσταλεί κυρίως σε κορυφαία και μεσαία στελέχη πολλών εταιριών. Τα email που στάλθηκαν από τους εισβολείς φαίνονταν να προέρχονται από μια τράπεζα στα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ), ενώ έμοιαζαν με συμβουλές πληρωμής από την τράπεζα και περιλάμβαναν ένα συνημμένο έγγραφο SWIFT, αλλά στην πραγματικότητα, το συνημμένο αρχείο περιείχε κακόβουλο λογισμικό.

Περαιτέρω έρευνα που διεξήχθη από ερευνητές της Kaspersky Lab έδειξε ότι αυτή η εκστρατεία spear-phishingέχει πιθανότατα οργανωθεί από μία ομάδα ψηφιακών εγκληματιών, που είχε εντοπιστεί για πρώτη φορά από τους ερευνητές της εταιρείας, τον Μάρτιο του 2015. Οι επιθέσεις του Ιουνίου φαίνεται να είναι η πιο πρόσφατη ενέργεια αυτής της ομάδας.

ghoul_EN

Το κακόβουλο λογισμικό που βρίσκεται στο συνημμένο αρχείο βασίζεται στο λογισμικό Hawkeye, ένα spywareπρόγραμμα που διατίθεται εμπορικά και πωλείται απροκάλυπτα στο Darkweb. Το συγκεκριμένο πρόγραμμα παρέχει μια ευρεία γκάμα εργαλείων που μπορούν να αξιοποιήσουν οι επιτιθέμενοι. Μετά την εγκατάσταση του, συλλέγει ενδιαφέροντα στοιχεία από τον υπολογιστή του θύματος, συμπεριλαμβανομένων:
• Πληκτρολογήσεων
• Αντιγραμμένων δεδομένων στο clipboard
• Στοιχείων από FTP server
• Στοιχείων λογαριασμού από προγράμματα περιήγησης
• Στοιχείων λογαριασμού από πλατφόρμες άμεσων μηνυμάτων (π.χ. Paltalk, GoogleTalk, AIM)
• Στοιχείων λογαριασμού από εφαρμογές e-mailσε πελάτες (π.χ. Outlook, Windows Live Mail)
• Πληροφοριών σχετικά με εγκατεστημένες εφαρμογές (π.χ. Microsoft Office)

Στη συνέχεια, αυτά τα δεδομένα αποστέλλονταν στους Command & Control servers του απειλητικού φορέα. Με βάση τις πληροφορίες που προέκυψαν από κάποιες «τρύπες» σε ορισμένους Command & Control servers, η πλειοψηφία των θυμάτων είναι οργανισμοί που δραστηριοποιούνται στους τομείς της βιομηχανίας και της μηχανολογίας, καθώς και εταιρείες από τον ναυτιλιακό, τον φαρμακευτικό, τον κατασκευαστικό, τον εμπορικό και τον εκπαιδευτικό κλάδο, μεταξύ άλλων.

Όλες αυτές οι επιχειρήσεις κατέχουν πολύτιμες πληροφορίες που θα μπορούσαν να πωληθούν στη συνέχεια στη μαύρη αγορά. Το οικονομικό κέρδος είναι το κύριο κίνητρο των επιτιθέμενων πίσω από το «Operation Ghoul».

Το «Operation Ghoul», όπως ονομάστηκε από τους ερευνητές της Kaspersky Lab, είναι μόνο μία από τις πολλές εκστρατείες που υποτίθεται ότι ελέγχονται από την ίδια ομάδα ψηφιακού εγκλήματος, η οποία παραμένει ενεργή.

CareerNet.gr: Βρείτε τώρα τη δουλειά που σας ταιριάζει!

0 ΣΧΟΛΙΑ

Comments are closed.

Top

Show Buttons
Hide Buttons