Kaspersky upozorava na sajber napade preko cloud infrastrukture

Kompanija Kaspersky nedavno je završila istragu o sajber napadima usmerenim na industrijski sektor u istočnoj Evropi. Istraga je otkrila korišćenje naprednih taktika, tehnika i procedura (TTP) koje targetiraju industrijski sektor u regionu. Posebno su pogođeni proizvodni pogoni, inženjering i integracija, kao i industrijski sistemi kontrole (ICS), te je neophodno podizanje nivoa sajber bezbednosti i bolje pripremljenosti na ovakve vrste napada.

Tokom istrage, stručnjaci kompanije Kaspersky otkrili su niz ciljanih napada koji su trebali da uspostave stalne kanale za eksfiltraciju podataka. Ove kampanje su bile slične sa prethodno istraživanim napadima, poput ExCone i DexCone, što ukazuje na umešanost APT31 grupe, poznate i kao Judgement Panda i Zirconium.

Istraga je otkrila korišćenje naprednih implanta, dizajniranih tako da im se može daljinski pristupiti, što ukazuje da akteri pretnji poseduju impozantno znanje i iskustvo u zaobilaženju bezbednosnih mera. Implanti su omogućili uspostavljanje rezistentnih kanala za eksfiltraciju podataka, čak i u prisustvu visoko bezbednosnih sistema.

Značajno je da su akteri pretnji ponovo koristili DLL tehnike (zloupotreba legitimnih izvršnih fajlova trećih strana) kako bi pokušali da izbegnu detekciju dok pokreću više implanta tokom 3 faze napada.

Usluge skladištenja podataka u cloud-u kao što su Dropbox i Yandex Disk, kao i privremene platforme za deljenje datoteka, korišćene su za eksfiltriranje podataka i isporuku malvera. Takođe, korišćena je infrastruktura za komandu i kontrolu (C2) na Yandex Cloud-u, kao i na regularnim virtuelnim privatnim serverima (VPS), kako bi zadržali kontrolu nad ugroženim mrežama.

U okviru ovih napada, implementirane su nove varijante FourteenHi malvera. Prvobitno otkrivena 2021. godine tokom ExCone kampanje koda su ciljane državne ustanove, ova vrsta malvera je evoluirala. Nove varijacije su se pojavile 2022. godine, specifično namenjene za napad na industrijsku infrastrukturu.

Pored toga, tokom istrage otkriven je novi malver implant, nazvan MeatBall koji poseduje široke mogućnosti daljinskog pristupa.

„Ne možemo potceniti rizike koje predstavljaju ciljani napadi sa kojima se suočavaju industrijski sektori. Kako organizacije nastavljaju da digitalizuju svoje poslovanje i oslanjaju se na međusobno povezane sisteme, neosporne su potencijalne posledice uspešnih napada na kritičnu infrastrukturu. Ova analiza naglašava urgentnost veće sajber bezbednosti u svrhu zaštite industrijske infrastrukture od sadašnjih i budućih pretnji“, komentariše Kirill Kruglov, viši istraživač bezbednosti u Kaspersky ICS CERT.