0
En international hacking kampagne rettet mod tusindvis af olie, minedrift og byggeri virksomheder, der lyder ligesom en sofistikeret kriminel operation. Omfanget af sådanne bestræbelser foreslår, at det ville kræve omfattende ressourcer og arbejdskraft, muligvis endda nation-state opbakning.
Men en nyligt afslørede cyberangreb, der er målrettet mere end 4.000 organisationer i den olie og gas, minedrift, byggeri og transport sektorer, der er fundet at have været udført af en 20-årig mand i Nigeria.
Den enlige angriber med held hacket sig ind i de netværk, som mindst 14 organisationer, herunder en marine og energi selskab i Kroatien, en transport virksomhed i Abu Dhabi, et mineselskab i Egypten, et byggefirma i Dubai, olie og gas virksomhed i Kuwait, og en konstruktion organisation i Tyskland.
Ved hjælp af en fjernbetjening adgang Trojan og en keylogger, angriberen stjal login-legitimationsoplysninger og finansielle oplysninger fra disse virksomheder.
Den kendsgerning, at angrebene var rettet mod finansielle personale, der arbejder i bestemte regioner og sektorer — energi og transport virksomheder i Europa og Mellemøsten — og anvendelse af en phishing-e-mail lokke, der hævder at være fra olie-og gas-gigant Saudi Aramco, i første omgang ført forskere til at tro, kampagnen blev arbejdet i en velorganiseret gruppe.
Men forskere ved Check Point undersøge angrebet fandt, at dette ikke var tilfældet.
“Vi indså, at dette blot var en person, på grund af den tekniske analyse af malware og C&C kommunikation, vi indså, at det var en forbryder, ikke er en nationalstat udførelse af spionage,” Maya Horowitz, leder af forskning for Check Point, fortalte ZDNet.
Og i modsætning til at professionelle hacking bander, den skyldige, der har meget dårlig operationelle sikkerhed, gør det muligt for forskerne at identificere ham og overvåge hans handlinger.
“Kan du se huller i phishing-e-mails sig selv, og der er huller hele den infrastruktur,” sagde Horowitz.
Sætte simpelthen, phishing e-mails er rå og ikke overbevisende, med stavefejl, generisk fag og de mål, der henvises til som ‘Sir/Ms’. Massen-mail-beskeder, bliver brugerne bedt om at downloade en fil, der anmoder om, at makroer aktiveres derefter installerer to former for malware-både, som er frit tilgængelige på nettet.
En phishing-e-mail bruges af angriberen at lokke ofrene.
Billede: Check Point
Ofre ender inficeret med Netwire, en remote access Trojan, der gør det muligt for angriberen at få fuld kontrol over inficerede maskiner, og Hawkeye, en kommercielt tilgængelig form af keylogging-software. Mens begge former for malware er forholdsvis simple, de har aktiveret den hacker at stjæle bank-og andre legitimationsoplysninger, og tjene tusindvis ved at stjæle fra konti og salg af legitimationsoplysninger.
Samtidig har de formået at infiltrere en række store organisationer, gerningsmanden er langt fra en cyberkriminel mastermind. Ja, han har ikke selv gjort meget ud af en indsats for at dække sine spor, og har selv diskuteret sine handlinger på Facebook.
“Han er ikke meget teknik, men han er på en Facebook gruppe af flere Nigerianske hackere, hvor de udveksler, taktikker og teknikker,” siger Horowitz.
Angreb, der anvender phishing for at inficere maskiner med malware, der er vinder i popularitet, tilføjede hun, og erstatter den berygtede 419 svindel af gamle. “De samme mennesker, der for ti år siden var kun i stand til at sende Nigerianske Prins svindel i dag kan de bare leje malware og sende den til hvem,” siger Horowitz.
“Det er de samme mennesker, med de samme tekniske færdigheder, men nu er hele dette marked fungerer mere som en virksomhed, hvor du bare kan købe eller leje dine værktøjer online som malware-som-som-service. I dette tilfælde er det ikke engang på den mørke web, det er bare på internettet,” tilføjede hun.
Den stigende ledighed af malware-as-a-service-eller freeware som Netwire og Hawkeye — betyder, at det er lettere end nogensinde for spirende it-kriminelle til at få i på handlingen. Men i mange tilfælde, angriberen ikke har viden til at tage de nødvendige skridt til at skjule sig selv.
I tilfælde af, at dette individ, Check Point har delt ud af sine resultater med den Nigerianske politi og internationale organisationer for at forhindre fremtidige angreb og anholde de skyldige.
De organisationer, der har allerede været udsat for de angreb, der bliver nødt til at tage ekstra forholdsregler i forbindelse med sikkerhed, fordi det er sandsynligt, log-in legitimationsoplysninger og andre følsomme oplysninger er blevet solgt til kriminelle, som kan bruge dem til at udføre yderligere angreb.
I sidste ende, phishing-e-mails, der anvendes i dette angreb var meget grundlæggende, men ikke desto mindre narret medarbejdere i de pågældende organisationer. Horowitz understregede vigtigheden af, at virksomheder, der gør medarbejdere opmærksomme på, hvad disse e-mails ser ud, og de trusler, de udgør.
“Disse angreb kan forebygges, har ingen til at være inficeret med denne malware,” siger Horowitz.
“Fjorten organisationer, der blev ramt, men der er ingen grund til at de skal have, fordi med korrekte sikkerhedsforanstaltninger og-mere vigtigt — uddannelse og bevidsthed, disse e-mails må ikke have fået ind i systemerne.”
LÆS MERE OM IT-KRIMINALITET
Smigrende at bedrage: Hvorfor narcissister er et let mål for hackersHow til at blive en mester cyber-sleuth [TechRepublic]Cyberkriminalitet Inc: Hvordan hacking bander er modellering selv på store businessA hacker ‘ s næste mål er bare en Web-søgning væk [CNET], Hvordan disse falske Facebook-og LinkedIn-profiler lokket folk til at friending state-backed hackere
0