0
Een internationale hacken campagne targeting duizenden olie -, mijnbouw-en bouwbedrijven klinkt als het werk van een geraffineerde criminele operatie. De schaal van een dergelijke onderneming suggereert dat het zou moeten uitgebreide middelen en mankracht, eventueel zelfs natie-staat, het maken van back.
Maar een nieuw ontdekt dat de gerichte cyberaanval meer dan 4.000 organisaties in de olie-en gasindustrie, de mijnbouw, de bouwnijverheid en transport sectoren is gebleken te zijn uitgevoerd door een 20-jarige man in Nigeria.
De eenzame aanvaller met succes gehackt in de netwerken van ten minste 14 organisaties, met inbegrip van een maritieme en energie bedrijf in Kroatië, een transport bedrijf in Abu Dhabi, een mijnbouwbedrijf in Egypte, is een constructie bedrijf in Dubai, een olie-en gas bedrijf in Koeweit, en een bouw-organisatie in Duitsland.
Met behulp van een remote access Trojan en een keylogger, de aanvaller gestolen inloggegevens en financiële informatie van deze bedrijven.
Het feit dat de aanvallen waren gericht op de financiële medewerkers in specifieke regio ‘ s en sectoren — energie en vervoer bedrijven in Europa en het Midden-Oosten — en het gebruik van een phishing e-mail te lokken beweert te zijn van olie en gas giant Saudi Aramco, in eerste instantie geleid onderzoekers geloven dat de campagne was het werk van een goed georganiseerde groep.
Maar onderzoekers van Check Point onderzoek naar de aanval vond dit niet het geval was.
“We wisten dit was slechts een persoon, als gevolg van de technische analyse van de malware en de C&C communicatie, we beseften het was een crimineel, niet een natie-staat het uitvoeren van spionage,” Maya Horowitz, hoofd van het onderzoek voor Check Point, vertelde ZDNet.
En in tegenstelling tot professionele hacken bendes, de dader heeft een zeer slechte operationele veiligheid, zodat onderzoekers om hem te identificeren en controleren van zijn daden.
“Zie je gaten in de phishing-e-mails zelf en er zijn gaten over de infrastructuur,” Horowitz zei.
Eenvoudig gezegd, de phishing e-mails zijn ruwe en niet overtuigend, met spelfouten, algemene vakken en de doelgroep aangeduid als ‘Meneer/Mevrouw’. De massa-mail berichten die gebruikers vragen om het downloaden van een bijlage, waarin wordt gevraagd de macro ‘ s worden ingeschakeld installeert vervolgens twee vormen van malware-die beide zijn vrij beschikbaar op het web.
Een phishing e-mail wordt gebruikt door de aanvaller om slachtoffers te lokken.
Afbeelding: Check Point
Slachtoffers uiteindelijk besmet met Netwire, een remote access Trojan die het mogelijk maakt de aanvaller volledige controle krijgen van geïnfecteerde computers, en Hawkeye, een in de handel verkrijgbare vorm van keylogging software. Hoewel beide vormen van malware zijn relatief eenvoudig, zij hebben ingeschakeld voor de aanvaller om te stelen, banken en andere referenties, en verdien duizenden door het stelen van accounts en verkoop op de referenties.
Terwijl ze zijn erin geslaagd te infiltreren in een aantal grote organisaties, de dader is verre van een cybercrimineel brein. Inderdaad, hij heeft zelfs niet veel moeite om zijn sporen te verbergen en heeft zelfs gesproken over zijn acties op Facebook.
“Hij is niet erg technisch, maar hij is op een Facebook groep van verschillende Nigeriaanse hackers waar ze wisselen van tactieken en technieken”, zegt Horowitz.
Aanvallen met behulp van phishing om machines te infecteren met malware zijn in opmars, voegde ze eraan toe, en het vervangen van de beruchte 419 scams van de oude. “Dezelfde mensen die tien jaar geleden waren alleen in staat om te sturen Nigeriaanse Prins oplichting vandaag kunnen ze gewoon huren malware en versturen naar wie dan ook,” zegt Horowitz.
“Het is dezelfde mensen, met dezelfde technische vaardigheden, maar nu is deze hele markt werkt meer als een bedrijf waar je gewoon kunt kopen of huren van uw gereedschap online als malware-as-as-a-service. In dit geval is het zelfs niet op de donkere web, het is gewoon op het internet,” voegde ze eraan toe.
De toenemende beschikbaarheid van malware-as-a-service-of freeware zoals Netwire en Hawkeye — betekent dat het gemakkelijker dan ooit voor beginnende cybercriminelen te krijgen in op de actie. Echter, in veel gevallen, de aanvaller niet de kennis hebben om de nodige stappen om zich te verbergen.
In het geval van deze persoon, Check Point heeft deelde zijn bevindingen met de Nigeriaanse politie en de internationale agentschappen om te stoppen toekomstige aanvallen en arrestatie van de dader.
Organisaties die al slachtoffer geworden van aanvallen zal moeten nemen extra veiligheidsmaatregelen genomen, omdat er waarschijnlijk log-in-gegevens in en andere gevoelige informatie te hebben verkocht aan criminelen die ze kon gebruiken voor het uitvoeren van verdere aanvallen.
Uiteindelijk is de phishing e-mails die in deze aanval waren erg basic, maar toch voor de gek gehouden medewerkers in de doelgroep van organisaties. Horowitz gewezen op het belang van de bedrijven dat werknemers zich bewust te worden van deze e-mails lijken en de bedreiging die ze vormen.
“Deze aanvallen kunnen voorkomen worden, door niemand te worden besmet met deze malware,” zegt Horowitz.
“Veertien organisaties werden getroffen, maar er is geen reden ze moet hebben, want met de juiste veiligheidsmaatregelen en — belangrijker — onderwijs en bewustzijn, deze e-mails niet hebben gekregen in de systemen.”
LEES MEER OVER CYBER CRIME
Vleiend om te misleiden: Waarom narcisten zijn een gemakkelijk doelwit voor hackersHow om een meester te worden cyber-sleuth [TechRepublic]Cybercrime Inc: Hoe hacking bendes zijn het modelleren van zelf op grote businessA hacker volgende doel is slechts een zoekopdracht op afstand [CNET]Hoe deze nep-Facebook-en LinkedIn-profielen in de maling nemen mensen in friending state-back-hackers
0