Ένας νέος εξελιγμένος κίνδυνος, γνωστός ως ‘TetrisPhantom‘, έχει χρησιμοποιήσει παραβιασμένες μονάδες USB για να επιτεθεί σε κυβερνητικά συστήματα στην περιοχή της Ασίας-Ειρηνικού.
Δείτε επίσης: Οι Ιρανοί hackers OilRig έμειναν για 8 μήνες σε κυβερνητικό δίκτυο της Μέσης Ανατολής
Οι ασφαλείς μονάδες USB αποθηκεύουν αρχεία σε έναν κρυπτογραφημένο χώρο της συσκευής και χρησιμοποιούνται για την ασφαλή μεταφορά δεδομένων μεταξύ συστημάτων, συμπεριλαμβανομένων αυτών που βρίσκονται σε περιβάλλον air-gapped. Η πρόσβαση στο προστατευμένο τμήμα είναι δυνατή μέσω προσαρμοσμένου λογισμικού που αποκρυπτογραφεί το περιεχόμενο με βάση έναν κωδικό που παρέχεται από τον χρήστη. Ένα από αυτά τα λογισμικά είναι το UTetris.exe, το οποίο συμπεριλαμβάνεται σε ένα μη κρυπτογραφημένο μέρος του USB.
Ερευνητές ασφαλείας ανακάλυψαν trojan εκδόσεις της εφαρμογής UTetris που εγκαθίστανται σε ασφαλείς συσκευές USB, σε μια επίθεση που έχει διαρκέσει τουλάχιστον μερικά χρόνια και στοχεύει κυβερνήσεις στην περιοχή της APAC.
Σύμφωνα με την πιο πρόσφατη έκθεση της Kaspersky για τις τάσεις στα ΑΡΤ, το TetrisPhantom χρησιμοποιεί διάφορα εργαλεία, εντολές και συνιστώσες κακόβουλου λογισμικού, που υποδεικνύουν μία εξελιγμένη και καλά εξοπλισμένη ομάδα απειλής.
Η Kaspersky μοιράστηκε επιπλέον λεπτομέρειες με το BleepingComputer, εξηγώντας ότι η επίθεση με την τροποποιημένη εφαρμογή Utetris ξεκινά με την εκτέλεση στη μηχανή στόχο ενός φορτίου, που ονομάζεται AcroShell.
Δείτε ακόμα: Οι hackers Lazarus στοχεύουν χρήστες με ψεύτικες συνεντεύξεις μέσω trojanized VNC apps
Το AcroShell δημιουργεί ένα κανάλι επικοινωνίας με τον διακινητή εντολών και ελέγχου (C2) server του επιτιθέμενου και μπορεί να ανακτήσει και να εκτελέσει επιπλέον φορτία για να κλέψει έγγραφα και ευαίσθητα αρχεία, καθώς και να συλλέξει συγκεκριμένες λεπτομέρειες σχετικά με τα USB drives που χρησιμοποιούνται από τον στόχο.
Οι επιτιθέμενοι χρήστες επίσης χρησιμοποιούν τις πληροφορίες που συγκεντρώνονται με αυτόν τον τρόπο για την έρευνα και την ανάπτυξη ενός άλλου κακόβουλου λογισμικού που ονομάζεται XMKR και το κακόβουλο UTetris.exe. Οι δυνατότητες του XMKR στη συσκευή περιλαμβάνουν την κλοπή αρχείων για σκοπούς κατασκοπείας και τα δεδομένα γράφονται σε μονάδες αποθήκευσης USB.
Οι πληροφορίες που βρίσκονται στον παραβιασμένο USB μεταφέρονται στον διακομιστή του επιτιθέμενου όταν η αποθηκευτική συσκευή συνδέεται σε έναν υπολογιστή που έχει μολυνθεί με το AcroShell και είναι συνδεδεμένος στο διαδίκτυο.
Η Kaspersky εξέτασε και ανέλυσε δύο παραλλαγές κακόβουλων εκτελέσιμων αρχείων Utetris, μία που χρησιμοποιήθηκε από τον Σεπτέμβριο έως τον Οκτώβριο του 2022 (έκδοση 1.0) και μία που εγκαταστάθηκε σε κυβερνητικά δίκτυα από τον Οκτώβριο του 2022 μέχρι σήμερα (έκδοση 2.0).
Σύμφωνα με την Kaspersky, αυτές οι επιθέσεις συνεχίζονται εδώ και μερικά χρόνια, με την κατασκοπεία να είναι το συνεχές επίκεντρο του TetrisPhantom. Οι ερευνητές παρατήρησαν έναν μικρό αριθμό μολύνσεων σε κυβερνητικά δίκτυα, υποδεικνύοντας μια στοχευμένη επιχείρηση.
Δείτε επίσης: Οι Lazarus και Andariel hackers εκμεταλλεύονται TeamCity bug για παραβιάσεις δικτύων
Ποια είναι τα μέτρα ασφαλείας που υπάρχουν για την προστασία των USB drives σε κυβερνητικά συστήματα;
Η ασφάλεια των κυβερνητικών συστημάτων απαιτεί συμπλοκές και πολυεπίπεδες προσεγγίσεις για την προστασία από δυνητικές επιθέσεις και χάκερς. Ένα από αυτά τα μέτρα αφορά την ασφάλεια των USB drives, που τόσο συχνά χρησιμοποιούνται για τη μεταφορά δεδομένων.
Καταρχάς, τα κυβερνητικά συστήματα συχνά χρησιμοποιούν κρυπτογραφημένα USB drives. Αυτά διαθέτουν ένα στρώμα προστασίας που απαιτεί έναν κωδικό πρόσβασης για να αποκρυπτογραφήσει και να προσπελάσει τα δεδομένα που περιέχονται εντός. Αυτό είναι σημαντικό γιατί ακόμη κι αν ένας χάκερ καταφέρει να παραβιάσει το USB drive, θα αντιμετωπίσει ένα ακόμα επίπεδο προστασίας για να προσπελάσει τα δεδομένα.
Τεχνικές Αποφυγής Απειλών
Επιπροσθέτως, τα κυβερνητικά συστήματα χρησιμοποιούν τεχνολογίες ανίχνευσης απειλών για να ελέγχουν κάθε USB drive που συνδέεται στο σύστημα. Αυτό περιλαμβάνει τη χρήση Λογισμικών Antivirus, Συστημάτων Προληπτικής Ανίχνευσης Επιθέσεων (IPS) και Συστημάτων Διαχείρισης Επιθέσεων (SIEM) για να εξακριβώσουν ότι το USB drive δεν έχει ήδη μολυνθεί από κάποιον ιό.
Ένα άλλο εξαιρετικό μέτρο ασφαλείας είναι η εκπαίδευση του προσωπικού. Τα μέλη της κυβέρνησης πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι χάκερ ώστε να μπορούν να αντιμετωπίσουν και να αποτρέψουν τυχόν επιθέσεις που θα μπορούσαν να απειλήσουν την ακεραιότητα των κυβερνητικών συστημάτων.
Επίπεδα Προστασίας
Τέλος, είναι κρίσιμης σημασίας να υπάρχουν πολλαπλά επίπεδα προστασίας που περιλαμβάνουν όλο το φάσμα των δυνατοτήτων. Η επίτευξη αυτού του επιπέδου προστασίας απαιτεί συνεχή εξέλιξη και προσαρμογή στις τεχνολογικές αλλαγές και τις αυξανόμενες απειλές του κυβερνοχώρου.
Η κυβερνητική ασφάλεια είναι ένα σημαντικό καθήκον, που απαιτεί τα ιδανικά αμυντικά μέτρα για διάφορες πιθανές κυβερνοεπιθέσεις. Με τη σωστή προστασία, προσεκτικούς ελέγχους στην είσοδο και την παρακολούθηση, καθώς και όλη την τεχνολογική γνώση που μπορεί να παράγει η τεχνολογική εξέλιξη, τα κυβερνητικά συστήματα μπορούν να αντιμετωπίσουν επιθέσεις χάκερς με αποτελεσματικό τρόπο.
Πηγή: bleepingcomputer
