Απότομη αύξηση στις στοχευμένες επιθέσεις

Στοχευμένες επιθέσεις - APT σε σημαντικά συστήματα πληροφοριών με πολλά δεδομένα και μεγάλη επιρροή, ήταν και είναι μια από τις τάσεις επίθεσης που επιλέγεται από πολλές ομάδες χάκερ. Αυτή η τάση αυξάνεται ολοένα και περισσότερο στο πλαίσιο πολλών οργανισμών και επιχειρήσεων που μετατοπίζουν τις δραστηριότητές τους στο ψηφιακό περιβάλλον, με ολοένα και μεγαλύτερα περιουσιακά στοιχεία δεδομένων.

Στην πραγματικότητα, η κατάσταση της ασφάλειας των δικτύων πληροφοριών στον κόσμο και στο Βιετνάμ τους πρώτους μήνες του τρέχοντος έτους κατέδειξε σαφώς την αυξανόμενη τάση των στοχευμένων επιθέσεων που στοχεύουν τα συστήματα μονάδων που δραστηριοποιούνται σε βασικούς τομείς όπως η ενέργεια, οι τηλεπικοινωνίες... Συγκεκριμένα, στο Βιετνάμ, κατά το πρώτο εξάμηνο του 2024, στοχευμένες επιθέσεις με χρήση ransomware στα συστήματα των VNDIRECT, PVOIL... προκάλεσαν διαταραχές στις λειτουργίες και υλικές ζημιές και ζημιές στην εικόνα αυτών των επιχειρήσεων, καθώς και στις δραστηριότητες για τη διασφάλιση της εθνικής ασφάλειας στον κυβερνοχώρο.

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
Η σκόπιμη επίθεση με χρήση κακόβουλου λογισμικού για την κρυπτογράφηση δεδομένων στο σύστημα της VNDIRECT νωρίτερα φέτος αποτελεί ένα μεγάλο μάθημα για τις μονάδες στο Βιετνάμ σχετικά με τη διασφάλιση της ασφάλειας των πληροφοριών. Φωτογραφία: DV

Σε πρόσφατα κοινοποιημένες πληροφορίες, το Εθνικό Κέντρο Παρακολούθησης Κυβερνοασφάλειας - NCSC στο πλαίσιο του Τμήματος Ασφάλειας Πληροφοριών ανέφερε ότι πρόσφατα, η μονάδα κατέγραψε πληροφορίες σχετικά με εκστρατείες κυβερνοεπιθέσεων που χρησιμοποιούν σκόπιμα πολύπλοκο κακόβουλο λογισμικό και εξελιγμένες τεχνικές επίθεσης για να διεισδύσουν σε σημαντικά συστήματα πληροφοριών οργανισμών και επιχειρήσεων, με κύριο στόχο τις κυβερνοεπιθέσεις, την κλοπή πληροφοριών και τη δολιοφθορά συστημάτων.

Στην προειδοποίηση της 11ης Σεπτεμβρίου που στάλθηκε σε μονάδες πληροφορικής και ασφάλειας πληροφοριών υπουργείων, παραρτημάτων και τοπικών αρχών, σε κρατικές εταιρείες, γενικές εταιρείες, παρόχους υπηρεσιών τηλεπικοινωνιών, Διαδικτύου και ψηφιακών πλατφορμών, καθώς και σε χρηματοπιστωτικούς και τραπεζικούς οργανισμούς, το Τμήμα Ασφάλειας Πληροφοριών παρείχε λεπτομερείς πληροφορίες σχετικά με τις εκστρατείες επιθέσεων APT από τρεις ομάδες επιθέσεων: Mallox Ransomware, Lazarus και Stately Taurus (γνωστό και ως Mustang Panda).

Συγκεκριμένα, παράλληλα με τη σύνθεση και ανάλυση των συμπεριφορών επίθεσης των ομάδων επίθεσης σε 3 στοχευμένες εκστρατείες επίθεσης που στοχεύουν σημαντικά συστήματα πληροφοριών, όπως: Εκστρατεία επίθεσης που σχετίζεται με το ransomware Mallox, εκστρατεία της ομάδας Lazarus που χρησιμοποιεί εφαρμογές Windows που μιμούνται πλατφόρμες τηλεδιάσκεψης για την εξάπλωση πολλών τύπων κακόβουλου λογισμικού και εκστρατεία της ομάδας Stately Taurus που εκμεταλλεύεται το VSCode για την επίθεση σε οργανισμούς στην Ασία, το Υπουργείο Ασφάλειας Πληροφοριών έχει επίσης δημοσιεύσει δείκτες κυβερνοεπιθέσεων - IoC, ώστε οι υπηρεσίες, οι οργανισμοί και οι επιχειρήσεις σε εθνικό επίπεδο να μπορούν να εξετάζουν και να εντοπίζουν έγκαιρα τους κινδύνους κυβερνοεπιθέσεων.

Αμέσως πριν από αυτό, τον Αύγουστο του 2024, το Υπουργείο Ασφάλειας Πληροφοριών εξέδωσε επίσης συνεχώς προειδοποιήσεις για άλλες επικίνδυνες στοχευμένες εκστρατείες επιθέσεων, όπως: Η εκστρατεία που χρησιμοποιεί την τεχνική «AppDomainManager Injection» για τη διάδοση κακόβουλου λογισμικού, το οποίο αναγνωρίστηκε ως σχετικό με την ομάδα APT 41 και επηρεάζει οργανισμούς στην περιοχή Ασίας- Ειρηνικού , συμπεριλαμβανομένου του Βιετνάμ· η εκστρατεία κυβερνοεπίθεσης που πραγματοποιήθηκε από την ομάδα APT StormBamboo, η οποία στόχευε παρόχους υπηρεσιών Διαδικτύου, με στόχο την ανάπτυξη κακόβουλου λογισμικού στα συστήματα macOS και Windows των χρηστών, με σκοπό την ανάληψη του ελέγχου και την κλοπή σημαντικών πληροφοριών· η εκστρατεία κυβερνοεπίθεσης που πραγματοποιήθηκε από την ομάδα επιθέσεων APT MirrorFace, με «στόχο» χρηματοπιστωτικά ιδρύματα, ερευνητικά ινστιτούτα και κατασκευαστές...

μοντέλο βημάτων επίθεσης 1.jpg
Διάγραμμα των βημάτων επίθεσης της ομάδας APT StormBamboo που στόχευε παρόχους υπηρεσιών Διαδικτύου, για την οποία είχε προειδοποιηθεί το Τμήμα Ασφάλειας Πληροφοριών στις 6 Αυγούστου 2024. Φωτογραφία: NCSC

Οι πληροφορίες σχετικά με στοχευμένες ομάδες επιθέσεων που στοχεύουν μεγάλους οργανισμούς και επιχειρήσεις στο Βιετνάμ είναι επίσης ένα θέμα στο οποίο η Viettel Cyber ​​​​Security επικεντρώνεται στην ανάλυση και κοινοποίηση στην έκθεση σχετικά με την κατάσταση της ασφάλειας των πληροφοριών στο Βιετνάμ κατά το πρώτο εξάμηνο του τρέχοντος έτους.

Συγκεκριμένα, η ανάλυση από τους ειδικούς της Viettel Cyber ​​​​Security δείχνει ότι κατά το πρώτο εξάμηνο του 2024, οι ομάδες επίθεσης APT έχουν αναβαθμίσει τα εργαλεία και το κακόβουλο λογισμικό που χρησιμοποιούνται στις εκστρατείες επίθεσης. Συνεπώς, η κύρια μέθοδος επίθεσης των ομάδων APT είναι η χρήση πλαστών εγγράφων και λογισμικού για να ξεγελάσουν τους χρήστες ώστε να εκτελέσουν κακόβουλο λογισμικό. Η δημοφιλής τεχνική που χρησιμοποιείται από πολλές ομάδες είναι η πλευρική φόρτωση DLL, η οποία εκμεταλλεύεται καθαρά εκτελέσιμα αρχεία για τη φόρτωση κακόβουλων DLL ή μέσω ευπαθειών ασφαλείας CVE.

Οι ομάδες APT που αξιολογήθηκαν από το τεχνικό σύστημα της Viettel Cyber ​​​​Security ως σημαντικές για τις επιχειρήσεις και τους οργανισμούς στο Βιετνάμ τους πρώτους μήνες του 2024 περιλαμβάνουν: Mustang Panda, Lazarus, Kimsuky, SharpPanda, APT32, APT 28, APT27.

Μέτρα για την πρόληψη του πρώιμου κινδύνου επίθεσης συστήματος από APT

Σε προειδοποιήσεις σχετικά με επιθέσεις APT, το Τμήμα Ασφάλειας Πληροφοριών ζήτησε από οργανισμούς, οργανισμούς και επιχειρήσεις να ελέγξουν και να επανεξετάσουν τα συστήματα πληροφοριών τους που ενδέχεται να επηρεαστούν από την επίθεση. Ταυτόχρονα, να παρακολουθούν προληπτικά τις πληροφορίες που σχετίζονται με τις κυβερνοεπιθέσεις, ώστε να τις αποτρέπουν έγκαιρα και να αποφεύγουν τον κίνδυνο επίθεσης.

W-ασφάλεια-συστήματος-πληροφοριών-1-1.jpg
Οι εγχώριες υπηρεσίες, οι οργανισμοί και οι επιχειρήσεις καλούνται να ενισχύσουν την παρακολούθηση και να καταρτίσουν σχέδια αντιμετώπισης όταν εντοπίζουν σημάδια κυβερνοεκμετάλλευσης και επιθέσεων. Φωτογραφία: LA

Ταυτόχρονα, συνιστάται στις μονάδες να ενισχύσουν την παρακολούθηση και να καταρτίσουν σχέδια αντιμετώπισης κατά την ανίχνευση σημαδιών εκμετάλλευσης και κυβερνοεπιθέσεων· να παρακολουθούν τακτικά τα κανάλια προειδοποίησης των αρχών και των μεγάλων οργανισμών ασφάλειας πληροφοριών για την άμεση ανίχνευση κινδύνων κυβερνοεπιθέσεων.

Στο πλαίσιο των κυβερνοεπιθέσεων, συμπεριλαμβανομένων των στοχευμένων επιθέσεων, που αυξάνονται συνεχώς παγκοσμίως και στο Βιετνάμ, οι ειδικοί στην ασφάλεια των πληροφοριών έχουν επίσης συστήσει σε εγχώριους οργανισμούς και επιχειρήσεις μια σειρά από μέτρα στα οποία πρέπει να επικεντρωθούν για την ελαχιστοποίηση των κινδύνων και τη διατήρηση της συνεχούς παραγωγής και των επιχειρηματικών δραστηριοτήτων.

Αυτά είναι: Αναθεώρηση διαδικασιών και συστημάτων για τη διαχείριση δεδομένων πελατών και εσωτερικών δεδομένων· προληπτική ανασκόπηση ενδείξεων εισβολής στο σύστημα, ανίχνευση και έγκαιρη ανταπόκριση σε στοχευμένες ομάδες επιθέσεων· ανασκόπηση και αναβάθμιση εκδόσεων λογισμικού και εφαρμογών που περιέχουν τρωτά σημεία ασφαλείας με σοβαρές επιπτώσεις...

Τεχνικό προσωπικό από χώρες Ασίας-Ειρηνικού εξασκείται στην αντιμετώπιση επιθέσεων APT . Η διεθνής άσκηση APCERT 2024 με θέμα «Αντιμετώπιση επιθέσεων APT: Εύρεση λύσεων σε δύσκολα προβλήματα» πραγματοποιήθηκε στις 29 Αυγούστου, με τη συμμετοχή τεχνικού προσωπικού από το Βιετνάμ και άλλες χώρες Ασίας-Ειρηνικού.