Η γεωπολιτική αστάθεια συνεχίζει να πυροδοτεί το ψηφιακό έγκλημα, με τον κυβερνοπόλεμο να μαίνεται με αμείωτη ένταση. Οι ειδικοί της Kaspersky πρόσφατα αποκάλυψαν μία νέα σειρά επιθέσεων τύπου APT (Advanced Persistent Threat) από την Awaken Likho, με στόχο κυβερνητικούς και βιομηχανικούς τομείς στη Ρωσία. Η απειλητική ομάδα, που είναι ακόμα ενεργή, έχει προσαρμόσει τις τακτικές της για να βελτιώσει την αποτελεσματικότητα των επιθέσεων της και να αποφύγει τον εντοπισμό της όπως αναφέρει ο Σύνδεσμος Επιχειρήσεων Πληροφορικής & Επικοινωνιών Ελλάδας – ΣΕΠΕ.
Σε αυτήν την τελευταία εκστρατεία, οι επιτιθέμενοι χρησιμοποιούν το MeshCentral, μια δωρεάν, διαδικτυακή πλατφόρμα για τον εξ αποστάσεως χειρισμό συστημάτων υπολογιστών, κάνοντας στροφή από την πρότερη χρήση του λογισμικού UltraVNC.
Η “Awaken Likho”, γνωστή και ως Core Werewolf, είναι μια ομάδα APT, που δραστηριοποιείται από το 2021 τουλάχιστον, αλλά παρουσίασε σημαντική αύξηση δραστηριότητας μετά το ξέσπασμα της σύρραξης ανάμεσα στη Ρωσία και την Ουκρανία. Κατά τη διεξαγωγή της έρευνας της Kaspersky σχετικά με τις δραστηριότητες της ομάδας, οι ειδικοί αποκάλυψαν μια νέα κακόβουλη εκστρατεία, που ξεκίνησε τον Ιούνιο του 2024 και συνεχίστηκε τουλάχιστον μέχρι τον Αύγουστο. Αυτή η εκστρατεία με στόχο την κυβερνοκατασκοπεία και την ανάληψη ελέγχου συσκευών στοχοποιούσε συγκεκριμένα κυβερνητικούς και βιομηχανικούς οργανισμούς στη Ρωσία και τους συνεργάτες τους.
Γεωπολιτικές εντάσεις
Η ανάλυση της Kaspersky αποκαλύπτει ότι η πρόσφατη εκστρατεία έφερε αλλαγές στα εργαλεία και τις τεχνικές της ομάδας. Οι επιτιθέμενοι χρησιμοποίησαν το MeshCentral, μια διαδικτυακή πλατφόρμα ανοιχτού κώδικα για απομακρυσμένη πρόσβαση στην επιφάνεια εργασίας, διαχείριση συσκευών, μεταφορά αρχείων και παρακολούθηση σε πραγματικό χρόνο.
“Η γεωπολιτική παραμένει βασικός παράγοντας των επιθέσεων APT, οι οποίες εξελίσσονται ραγδαία, καθώς οι επιτιθέμενοι βελτιώνουν τις τεχνικές τους για να παραμείνουν απαρατήρητοι, μεγιστοποιώντας παράλληλα τη ζημιά. Οι επιθέσεις αυτές επισημαίνουν, για άλλη μια φορά, την κρίσιμη ανάγκη για ολοκληρωμένα μέτρα ασφαλείας, ιδίως στον κυβερνητικό και βιομηχανικό τομέα, καθώς αποτελούν πρωταρχικούς στόχους για τους επιτήδειους. Οι προληπτικές στρατηγικές άμυνας και η γνωστοποίηση απειλών σε πραγματικό χρόνο, είναι απαραίτητες για την αντιμετώπιση αυτών των ολοένα και πιο εξελιγμένων απειλών”, σχολιάζει Kaspersky.
Χάρη στις τακτικές τους, οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση σε ευαίσθητα κυβερνητικά και βιομηχανικά δεδομένα, συμπεριλαμβανομένων εμπιστευτικών πληροφοριών, σχεδίων, επικοινωνιών και λεπτομερειών σχετικά με δομικές λειτουργίες. Επιπλέον, μπορούν να αποκτήσουν πλήρη έλεγχο των συσκευών των θυμάτων, επιτρέποντας τους να διαταράξουν εργασιακές λειτουργίες, να χειραγωγήσουν συστήματα ή να ξεκινήσουν περαιτέρω επιθέσεις εντός των παραβιασμένων δικτύων.
Συστάσεις προστασίας
Για να αποφύγετε το ενδεχόμενο στοχευμένης επίθεσης από γνωστό ή άγνωστο επιτήδειο, οι ερευνητές της Kaspersky συνιστούν την εφαρμογή των ακόλουθων μέτρων:
- Δώστε στην ομάδα SOC σας πρόσβαση στην πιο πρόσφατη πληροφόρηση απειλών (TI).
- Αναβαθμίστε την ομάδα ψηφιακής ασφάλειας για να αντιμετωπίσετε τις πιο πρόσφατες στοχευμένες απειλές με το online training της Kaspersky που αναπτύχθηκε από ειδικούς της GreAT.
- Για τον εντοπισμό, τη διερεύνηση και την έγκαιρη αποκατάσταση περιστατικών σε επίπεδο τερματικού σημείου, εφαρμόστε λύσεις EDR.
- Συμπληρωματικά με την απόκτηση της απαραίτητης προστασίας τερματικού σημείου, εφαρμόστε μια μέθοδο ασφάλειας εταιρικού επιπέδου που ανιχνεύει εξελιγμένες απειλές στο δίκτυο σε πρώιμο στάδιο.
- Καθώς πολλές στοχευμένες επιθέσεις ξεκινούν με phishing ή άλλες τεχνικές κοινωνικής μηχανικής, παρέχετε μια εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια και διδάξτε πρακτικές δεξιότητες στην ομάδα σας – για παράδειγμα, μέσω της Kaspersky Automated Security Awareness Platform.
