Hacking-kampagnen kombinerer angreb for at målrette regering, finans og energi

Video: Cyberwar: Nationalstaters cyberangreb truer enhver virksomhed

En nyligt afsløret cyberspionage operation kombinerer kendte udnyttelser med specialbygget malware i en kampagne, der har målrettet hundredvis af organisationer, især dem i regerings-, finans- og energisektoren.

Opdaget af forskere hos Symantec, det gruppe hedder Leafminer og har været i drift fra Iran siden mindst begyndelsen af ​​2017.

Malware og brugerdefinerede værktøjer brugt af Leafminer er blevet opdaget på tværs af 44 systemer i Mellemøsten: 28 i Saudi-Arabien, otte i Libanon, tre i Israel, en i Kuwait, og fire i ukendt placeringer -- men undersøgelsen af ​​kampagnen fandt en liste med 809 mål.

Angribernes aktivitet tyder på, at målet med deres kampagne er at stjæle data, herunder e-mails, legitimationsoplysninger, filer og information på databaseservere, der drives af kompromitterede mål.

Leafminer bruger tre hovedteknikker til at gå på kompromis mål netværk: vandhulsangreb, sårbarheder i netværk tjenester, og brute-force ordbogsangreb, der forsøger at knække adgangskoder. Forskere sagde at phishing-e-mails også kan blive brugt, men beviser for dette er endnu ikke blevet set.

Det er vandhulsangrebene og opdagelsen af ​​kompromitterede websteder, der oprindeligt førte til Symantec til Leafminer. Vandhulsangrebene så sløret JavaScript-kode tilbage på målrettede websteder som et middel til at misbruge SMB-protokoller til at hente adgangskoder.

Kompromitterede mål omfattede et libanesisk regeringssted, et saudiarabisk sundhedscenter og et Aserbajdsjans universitet. Forskere bemærker, at den samme teknik var implementeret af DragonFly hackergruppen sidste år -- men snarere end at være en beslægtet angreb gruppe, synes Leafminer at være efterligner det tidligere angreb.

Se også: Kan russiske hackere stoppes? Her er grunden til, at det kan tage 20 år[TechRepublic]

Dette er ikke den eneste taktik, som Leafminer har opfanget af succesfulde kampagner efter Andet kriminelle grupper. Leafminer bruger EternalBlue -- det lækket NSA-sårbarhed som drev WannaCry ransomware -- at flytte inden for målrettede netværk.

Det forsøger angriberne også Scan til Hjerteblod, en OpenSSL-sårbarhed, som kunne give angribere mulighed for at se krypteret data. Heartbleed kom frem i lyset i 2014, men tusindvis af websteder er stadig sårbare.

En anden kendt teknik er løftet for at hjælpe med at eksfiltrere data. Kendt som dobbeltgænger, processen blev afsløret i slutningen af ​​sidste år og omgår sikkerhedsværktøjer ved at bruge procesudhulning for at få de ondsindede processer til at se godartede ud.

Brugen af ​​alle ovenstående får Symantec til at oplyse, at Leafminer aktivt skærme udviklere og publikationer af offensive teknikker til ideer.

Men kampagnen er ikke udelukkende baseret på gentagne angreb implementeret af andre, da Leafminer også har implementeret to stammer af tilpasset malware under deres kampagner: Imecab og Sorgu.

Imecab er designet at opsætte persistent fjernadgang til en målmaskine med en hårdkodet adgangskode og installeres som en Windows-tjeneste for at sikre, at den forbliver tilgængelig for angriberen.

Sorgu bruges i en lignende mode, der giver fjernadgang til inficeret maskine og er også installeret som en service i Windows-systemet via en shell kommando manuskript.

Men mens Leafminer-gruppen ser ud til at være opsat på det lære fra andre vellykkede spionagekampagner er en ting, den har fejlet, operationel sikkerhed: forskere afslørede en iscenesættelsesserver, der blev brugt af angriberne til at være offentligt tilgængelig, hvilket afslørede hele gruppen arsenal af værktøjer, hvilket indikerer uerfarenhed hos angriberne.

Mere: VPN-tjenester 2018: Den ultimative guide til at beskytte dine data på internettet (TechRepublic)

Denne offentlige information førte også til en liste over over 800 potentielle mål inden for regering, finans og energi i hele Mellemøsten. Listen er skrevet på det iranske farsi sprog, hvilket får forskere til at konkludere, at gruppen er baseret i Iran, selvom der i øjeblikket ikke er beviser for, at det er en statsstøttet kampagne.

Uanset hvem der står bag kampagnen, er det sandsynligt, at gruppen vil fortsætte med at udvikle offensive teknikker - og de kan endda udvide omfanget af ondsindede angreb.

"Det er muligt, at gruppen ville blive ved med at adoptere og tilpasse sig både nye offentligt tilgængelige hacking-værktøjer og -teknikker, såvel som proof-of-concept-udnyttelser til nye og gamle sårbarheder, siger Armin Buescher, trusselsforsker hos Symantec, til ZDNet.

"Med hensyn til målretning kan angriberne fortsætte med at gå efter mål i Mellemøsten, måske endda udvide til lande uden for regionen."

Relateret dækning

Hacking-kampagne retter sig mod iPhone-brugere med malware, der stjæler data og sporer placering

Kampagnen leverer falske versioner af WhatsApp og Telegram til ofrene – og dem bag har forsøgt at få det til at ligne et russisk angreb, når det ikke er det.

Phishing-advarsel: Hacking-banden vender sig til nye taktikker i malware-kampagnen

Sikkerhedsfirma advarer om 'SilverTerrier'-gruppen udgør en trussel mod virksomheder.

Sikring af elnettet mod hacking, sabotage og andre trusler

Frank Gaffney, grundlægger og præsident for Center for Sikkerhedspolitik, taler om at sikre elnettet mod EMP, hacking, sabotage og soludbrud. Han mener, at transformatorer er nøgleelementet.

LÆS MERE OM CYBERKRIMINALITET

• Fjerde generations Android-spionagekampagne retter sig mod Mellemøsten
• Kina-baseret spionagekampagne retter sig mod satellit-, forsvarsvirksomheder [CNET]
• Chafer: Hacking-gruppen udvider spionagedriften med nye angreb
• Pas på russiske angribere, der efterligner LoJack-sikkerhedssoftware for at hacke computere [TechRepublic]
• Spionage malware lurer efter adgangskoder, miner bitcoin på siden