Hvorfor iranske hackingoperasjoner kan være en trussel mot nettverket Se nå
En tidligere uoppdaget cyber-spionasje-kampanje som bruker skadelig programvare, infiltrerer globale luftfarts- og telekommunikasjonsselskaper i en svært målrettet operasjon som har vært aktiv siden minst 2018, men har holdt seg helt under radaren til juli i år.
Kampanjen er arbeidet til en nylig avslørt iransk hackegruppe kalt MalKamak, som er blitt detaljert av cybersikkerhetsfirmaet Cybereason Nocturnus, som oppdaget det etter å ha blitt kalt av en klient for å undersøke en sikkerhetshendelse.
Målet med cyber-spionasje-kampanjen er kalt Operation GhostShell og kompromitterer nettverkene til selskaper i luftfarts- og telekomindustrien for å stjele sensitiv informasjon om eiendeler, infrastruktur og teknologi. Målene – som ikke er avslørt – er hovedsakelig i Midtøsten, men med flere ofre i USA, Europa og Russland. Hvert mål ser ut til å ha blitt valgt av angriperne.
SE: Ransomware -angriper målrettet mot dette selskapet. Da oppdaget forsvarerne noe nysgjerrig
“Dette er en veldig, veldig målrettet angrepstype,” sa Assaf Dahan, leder for trusselforskning i Cybereason, til ZDNet. “Vi har bare klart å identifisere rundt ti ofre over hele verden.”
MalKamak distribuerer en tidligere udokumentert fjerntilgangstrojaner (RAT) kjent som ShellClient som er designet med tanke på spionasje – og derfor forble den uoppdaget i tre år. En av grunnene til at skadelig programvare har forblitt så effektiv, er fordi forfatterne har lagt ned mye arbeid for å gjøre det skjult nok til å unngå antivirus og andre sikkerhetsverktøy. Skadelig programvare mottar jevnlige oppdateringer slik at dette fortsetter å være tilfelle.
“Hver iterasjon, de legger til mer funksjonalitet, de legger til forskjellige nivåer av stealth,” sa Dahan.
ShellClient har til og med begynt å implementere en Dropbox -klient for kommando og kontroll på målnettverk, noe som gjør det vanskelig å oppdage fordi mange selskaper kanskje ikke merker eller tror mye om enda et skysamarbeidsverktøy som utfører handlinger, hvis de til og med merker det det i det hele tatt.
Det er en del av planen om å bruke trojaneren til å overvåke systemer, stjele brukerlegitimasjon, i hemmelighet utføre kommandoer på nettverk og til slutt stjele sensitiv informasjon. Hver infisert maskin får en unik ID, slik at angriperne kan holde oversikt over arbeidet sitt i løpet av ukene og månedene de snoker rundt kompromitterte nettverk.
“Når de er inne, begynner de å utføre omfattende rekognosering av nettverket. De kartlegger de viktige eiendelene – kronjuvelene de ville gå for, viktige servere som Active Directory, men også forretningsservere som inneholder typen informasjon de er ute etter, “sa Dahan.
Kampanjen forble vellykket uoppdaget til juli, da forskere ble kalt inn for å undersøke en hendelse. Det er mulig at angriperne ble for sikre på sin taktikk og overspilte hånden, og etterlot bevis som tillot forskere å identifisere kampanjen og skadelig programvare som ble distribuert.
“Etter det vi ser, økte de tempoet det siste året. Noen ganger når du er raskere, kan du være litt slurvet, eller det vil ganske enkelt være flere tilfeller oppdaget, “forklarte Dahan.
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 