0
En internationell hacka kampanj som riktar sig till tusentals av olje -, gruv-och byggföretag låter som ett verk av en sofistikerad kriminell verksamhet. Omfattningen av en sådan strävan antyder att det skulle behöva omfattande resurser och arbetskraft, eventuellt även nationalstaten stöd.
Men en nyligen upptäckt cyberattack som riktade sig mer än 4 000 organisationer inom olja och gas, gruvdrift, bygg och transport har funnit att den har genomförts av en 20-årig man i Nigeria.
Lone angriparen lyckats hacka sig in i nätverk som är minst 14 organisationer, inklusive en marine och energi företag i Kroatien, ett transportföretag i Abu Dhabi, ett gruvbolag i Egypten, ett byggföretag i Dubai, en olja och gas företag i Kuwait, och en konstruktion organisation i Tyskland.
Med hjälp av en remote access-Trojaner och en keylogger, angriparen stal inloggningsuppgifter och finansiell information från dessa företag.
Det faktum att attackerna var riktade på finansiella personal som arbetar i särskilda regioner och sektorer — energi och transporter företag i Europa och Mellanöstern — och användning av nätfiske-e-post drag som påstår sig vara från olja och gas jätte Saudi Aramco, som inledningsvis ledde forskarna tror att kampanjen var ett verk av en väl organiserad grupp.
Men forskare vid Check Point utreda attacken hittade detta var inte fallet.
“Vi insåg att detta var bara en person, på grund av den tekniska analysen av skadlig kod och C&C-kommunikation, vi insåg att det var en brottsling, inte en stat att genomföra spionage,” Maya Horowitz, chef för forskning för Check Point, berättade ZDNet.
Och till skillnad från professionella hacka gäng, den skyldige har mycket dålig operativa säkerhet, gör det möjligt för forskarna att identifiera honom och följa hans handlingar.
“Du kan se hålen i phishing e-postmeddelanden sig själva och det är hål i hela infrastrukturen,” Horowitz säger.
Enkelt uttryckt, phishing e-post är rå och övertygande, med stavfel, generiska ämnen och de mål som avses som “Sir/Ms’. Massa-post meddelanden be användare att ladda ner en bifogad fil som ber om makron ska aktiveras sedan installerar två former av skadlig kod-båda är fritt tillgängliga på webben.
Ett nätfiskemeddelande som används av angripare för att lura offer.
Bild: Check Point
Offren hamnar infekterade med Netwire, en remote access-Trojaner som gör det möjligt för angriparen att få full kontroll av infekterade maskiner, och Hawkeye, en kommersiellt tillgänglig form av keylogging program. Även om båda formerna av skadlig kod som är relativt enkla, de har aktiverat det möjligt för angripare att stjäla bank och övriga meriter, och tjäna tusentals genom att stjäla från företag och sälja på referenser.
Samtidigt har de lyckats infiltrera ett antal stora organisationer, förövaren är långt från en cybercriminal mastermind. Ja, han har inte ens gjort mycket av ett försök att täcka sina spår och har även diskuterat hans agerande på Facebook.
“Han är inte mycket techie, men han är på en Facebook grupp av flera Nigerianska hackare där de utbyter taktik och teknik”, säger Horowitz.
Attacker med lösenordsfiske för att infektera maskiner med skadlig kod ökar i popularitet, tillade hon, och ersätter den ökända 419 scams gamla. “Samma människor som för tio år sedan kunde bara skicka Nigerianska Prins bedrägerier idag kan de bara hyra skadlig kod och skicka den till vem”, säger Horowitz.
“Det är samma människor, med samma tekniska färdigheter, men nu är detta hela marknaden fungerar mer som ett företag där du kan köpa eller hyra din online-verktyg som malware-som-som-service. I det här fallet handlar det inte ens om de mörka webben, det är bara på internet,” tillade hon.
Den alltmer tillgänglighet av skadlig programvara-som-en-tjänst-eller freeware som Netwire och Hawkeye — innebär att det är lättare än någonsin för blivande cyberbrottslingar för att komma in på mål. Men i många fall kan angriparen inte har kunskap för att vidta nödvändiga åtgärder för att dölja sig själva.
I fallet med denna individ, Check Point har delat med sig av sina resultat med Nigerianska polisen och internationella organ för att förhindra framtida attacker och gripa den skyldige.
De organisationer som redan fallit offer för attacker kommer att behöva vidta extra försiktighetsåtgärder säkerhet, eftersom det är troligt att logga in inloggningsuppgifter och annan känslig information som har sålts på att brottslingar som kan använda dem för att utföra ytterligare attacker.
I slutändan, phishing e-postmeddelanden som används i denna attack var mycket grundläggande men ändå luras anställda i målet organisationer. Horowitz betonade vikten av företag att göra de anställda medvetna om vad dessa e-postmeddelanden ser ut och det hot de utgör.
“Dessa attacker kan förebyggas, har ingen att vara infekterad med detta skadliga program,” sade Horowitz.
“Fjorton organisationer som drabbades, men det finns ingen anledning att de ska ha, eftersom med rätt säkerhetsåtgärder och-viktigare-utbildning och medvetenhet, dessa e-postmeddelanden inte har kommit in i systemen.”
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Smickrande att lura: Varför narcissister är ett lätt mål för hackersHow att bli en mästare cyber-detektiv [TechRepublic]it-relaterad Brottslighet Inc: Hur hacking gäng modellering sig på stora businessA hacker nästa mål är bara en sökning bort [MAG]Hur dessa falska Facebook-och LinkedIn-profiler lurat människor in frie statligt stöd hackare
0