Επίθεση χάκερ σε αμυντικές εταιρείες: Η Fancy Bear θέτει σε κίνδυνο τις παραδόσεις στην Ουκρανία!

Επίθεση χάκερ σε αμυντικές εταιρείες: Η Fancy Bear θέτει σε κίνδυνο τις παραδόσεις στην Ουκρανία!

Η ρωσική ομάδα χάκερ Fancy Bear, γνωστή και ως APT28 ή Sednit, έχει βάλει στο στόχαστρο αμυντικές εταιρείες που προμηθεύουν όπλα στην Ουκρανία. Αυτές οι επιθέσεις επικεντρώνονται κυρίως σε κατασκευαστές σοβιετικής τεχνολογίας όπλων στη Βουλγαρία, τη Ρουμανία και την Ουκρανία. Όμως οι επιπτώσεις είναι παγκόσμιες, καθώς επηρεάζονται και εργοστάσια όπλων στην Αφρική και τη Νότια Αμερική. Οι ειδικοί θεωρούν αυτές τις δραστηριότητες ως μέρος μιας ευρύτερης στρατηγικής των ρωσικών υπηρεσιών πληροφοριών για πολιτική επιρροή και αποσταθεροποίηση αναφέρει η Süddeutsche.

Στο πλαίσιο της τρέχουσας εκστρατείας τους για κατασκοπεία, που ονομάστηκε «Operation RoundPress», οι χάκερ εκμεταλλεύονται ευπάθειες σε λογισμικό webmail όπως το Roundcube, το Zimbra, το Horde και το MDaemon. Έχει αποδειχθεί ότι πολλές από τις επηρεαζόμενες εταιρείες λειτουργούν απαρχαιωμένους διακομιστές webmail, διευκολύνοντας τις επιθέσεις. Σε μια ιδιαίτερα ανησυχητική περίπτωση, χρησιμοποιήθηκε μια άγνωστη ευπάθεια στο MDaemon. Οι επιθέσεις συνήθως ξεκινούν με χειραγωγημένα email που μεταμφιέζονται σε νόμιμες ειδησεογραφικές αναφορές, επιτρέποντας την πρόσβαση στα συστήματα της εταιρείας.

Κοινές μέθοδοι και τεχνικές

Το κακόβουλο λογισμικό "SpyPress.MDAEMON" που χρησιμοποιείται έχει τη δυνατότητα ανάγνωσης δεδομένων πρόσβασης, παρακολούθησης email και παράκαμψης μέτρων ασφαλείας όπως ο έλεγχος ταυτότητας δύο παραγόντων (2FA). Αυτό δείχνει ότι οι χάκερ είναι εξαιρετικά εξελιγμένοι στις επιθέσεις τους. Σε αρκετές περιπτώσεις, κατάφεραν να ξεπεράσουν την προστασία 2FA και έτσι να έχουν μόνιμη πρόσβαση στα γραμματοκιβώτια. Ο ερευνητής του Eset, Matthieu Faou, τονίζει ότι η απλή προβολή ενός email στο πρόγραμμα περιήγησης μπορεί να είναι αρκετή για την εκτέλεση κακόβουλου κώδικα, τονίζοντας την ευπάθεια πολλών πλατφορμών.

Επιπλέον, οι γερμανικές αρχές ασφαλείας συμμετείχαν σε επιχείρηση υπό την ηγεσία των ΗΠΑ για την εξάρθρωση ενός ρωσικού δικτύου κατασκοπείας υπολογιστών. Αυτό περιλαμβάνει την καταπολέμηση της APT28, η οποία ενεργεί για λογαριασμό της ρωσικής στρατιωτικής υπηρεσίας πληροφοριών (GRU). Οι επιθέσεις σε εκατοντάδες δρομολογητές σε γραφεία και νοικοκυριά δημιούργησαν μια δομή botnet που χρησιμοποιείται ως παγκόσμια πλατφόρμα κατασκοπείας στον κυβερνοχώρο αναφέρει ο Watson.

Προστατευτικά μέτρα και προοπτικές

Οι επιθέσεις δεν στόχευαν μόνο τη στρατιωτική υποστήριξη προς την Ουκρανία, αλλά επηρέασαν και άλλα κράτη της ΕΕ και του ΝΑΤΟ. Οι μέθοδοι που χρησιμοποιούνται, όπως ο συμβιβασμός των δρομολογητών, δείχνουν ότι οι χάκερ χρησιμοποιούν στρατηγική για να συγκαλύψουν τις επιθέσεις τους. Οι συσκευές που χρησιμοποιούσαν τυπικούς κωδικούς πρόσβασης διαχειριστή δέχθηκαν επίθεση, υπογραμμίζοντας την ανάγκη λήψης βασικών προφυλάξεων ασφαλείας.

Στο διαρκώς μεταβαλλόμενο τοπίο της κυβερνοασφάλειας, η πρόκληση της αντιμετώπισης αυτών των εξαιρετικά οργανωμένων και εξελιγμένων ομάδων χάκερ, όπως η Fancy Bear, γίνεται όλο και μεγαλύτερη. Η τρέχουσα κατάσταση δείχνει ότι τόσο οι κρατικοί όσο και οι ιδιωτικοί παράγοντες πρέπει επειγόντως να εργαστούν για τη βελτίωση των συστημάτων ασφαλείας τους, προκειμένου να προστατευθούν καλύτερα από τέτοιες στοχευμένες επιθέσεις στον κυβερνοχώρο.