Μια εκστρατεία κυβερνοκατασκοπείας μεγάλης κλίμακας στοχεύει οργανισμούς στον τομέα των ανανεώσιμων πηγών ενέργειας και της βιομηχανικής τεχνολογίας, από το 2019. Σύμφωνα με τον ερευνητή που ανακάλυψε την εκστρατεία, στο στόχαστρο έχουν βρεθεί πάνω από δεκαπέντε οντότητες σε όλο τον κόσμο.
Δείτε επίσης: Phishing επιθέσεις: Ποιες μεγάλες εταιρείες μιμούνται οι απατεώνες για να ξεγελάσουν τα θύματα;
Η εκστρατεία κυβερνοκατασκοπείας ανακαλύφθηκε από τον ερευνητή ασφαλείας William Thomas, μέλος της Curated Intelligence, ο οποίος χρησιμοποίησε τεχνικές OSINT (open-source intelligence), όπως σαρώσεις DNS και public sandbox submissions.
Σύμφωνα με τον Thomas, οι επιτιθέμενοι χρησιμοποιούν ένα custom ‘Mail Box’ toolkit, ένα όχι και τόσο εξελιγμένο phishing package που αναπτύσσεται στην υποδομή των εγκληματιών, καθώς και νόμιμες ιστοσελίδες που έχουν παραβιαστεί για να φιλοξενήσουν σελίδες phishing.
Οι περισσότερες phishing σελίδες φιλοξενήθηκαν σε “*.eu3[.]biz”, “*.eu3[.]org”, and “*.eu5[.]net” domains, ενώ η πλειονότητα των παραβιασμένων sites βρίσκεται στη Βραζιλία (“*.com[.]br”).
Δείτε επίσης: Nintendo: Ψεύτικα sites λένε ότι πωλούν Nintendo Switch σε χαμηλή τιμή
Εκστρατεία κυβερνοκατασκοπείας στοχεύει τον τομέα των ανανεώσιμων πηγών ενέργειας
Ο στόχος της εκστρατείας phishing είναι να κλέψει τα credentials ατόμων που εργάζονται στον τομέα των ανανεώσιμων πηγών ενέργειας, σε οργανισμούς προστασίας του περιβάλλοντος και γενικά εταιρείες που σχετίζονται με τη βιομηχανική τεχνολογία.
Μερικοί από τους στόχους:
- Schneider Electric
- Honeywell
- Huawei
- HiSilicon
- Telekom Romania
- University of Wisconsin
- California State University
- Utah State University
- Kardzhali Hydroelectric Power Station (Βουλγαρία)
- CEZ Electro (Βουλγαρία)
- California Air Resources Board
- Morris County Municipal Utilities Authority
- Taiwan Forestry Research Institute
- Carbon Disclosure Program
- Sorema (ιταλική εταιρεία ανακύκλωσης)
Ο ερευνητής δεν έχει δείγματα των phishing emails που στάλθηκαν στα πλαίσια της εκστρατείας κυβερνοκατασκοπείας. Ωστόσο, πιστεύει ότι το θέμα του email ήταν: “Your Mail Box storage is full“.
Δείτε επίσης: Ρωσία: Κατηγορεί 8 μέλη συμμορίας ύποπτα για το ransomware REvil
Επιπλέον, η εκστρατεία δεν έχει συνδεθεί με κάποια συγκεκριμένη hacking ομάδα, αν και κάποια στοιχεία δείχνουν ομοιότητες με τον τρόπο λειτουργίας των APT28 (γνωστή και ως FancyBear) και Konni (hackers από τη Βόρεια Κορέα). Ωστόσο, αυτές είναι απλές υποθέσεις.
Οι ερευνητές της Ομάδας Ανάλυσης απειλών της Google ανακάλυψαν πρόσφατα δραστηριότητα phishing που αποδίδεται στην APT28, η οποία χρησιμοποιεί αρκετά domains “eu3[.]biz”.
Πηγή: Bleeping Computer
