Istraživači kompanije Kaspersky pratili su pomeranje fokusa SideWinder grupe poznate po naprednim trajnim pretnjama (APT) prema nuklearnim elektranama u Južnoj Aziji, što predstavlja značajnu eskalaciju u oblasti ciljane špijunaže. Ova grupa je istovremeno proširila svoje operacije širom Afrike, jugoistočne Azije i delova Evrope. Špijunaža nuklearnih elektrana je, izgleda, postala nova „vruća“ tema…
GReAT tim dokumentovao je zabrinjavajuću dvostruku pretnju APT grupe SideWinder. Sad ona pokazuje pojačan fokus na nuklearne elektrane i energetske objekte širom Južne Azije. Ovaj fokus na nuklearne elektrane ide paralelno sa geografskom ekspanzijom grupe izvan njenih uobičajenih oblasti.
Ko je SideWinder grupa
Aktivna bar od 2012. godine, SideWinder grupa je tradicionalno ciljala vladine, vojne i diplomatske entitete. Grupa je proširila profil žrtava, uključujući pomorsku infrastrukturu i logističke kompanije širom jugoistočne Azije. Sad je postavila nove ciljeve i u nuklearnom sektoru. Istraživači su primetili porast napada usmerenih na agencije za nuklearnu energiju pomoću usko ciljanih fišing imejlova i zlonamernih fajlova prepunih specifične terminologije iz ove industrije.
Prateći delovanje SideWinder grupe u 15 zemalja na tri kontinenta, Kaspersky je zabeležio brojne napade u Džibutiju. Potom je promenjen fokus na Egipat i pokrenute operacije u Mozambiku, Austriji, Bugarskoj, Kambodži, Indoneziji, na Filipinima i u Vijetnamu. Diplomatske ispostave u Avganistanu, Alžiru, Ruandi, Saudijskoj Arabiji, Turskoj i Ugandi takođe su bile na meti. To šire ilustruje porast grupe daleko izvan Južne Azije.
„Ono čemu prisustvujemo nije samo geografska ekspanzija. To je strateška evolucija sposobnosti i ambicija SideWinder grupe“, rekao je Vasilij Berdnikov, vodeći istraživač bezbednosti uKaspersky GreAT tima. „Oni mogu da implementiraju ažurirane varijante malvera nakon detekcije i to izuzetno brzo. Tako transformišu pejzaž pretnji iz reaktivnog u borbu u praktično realnom vremenu“.
Na koje sve načine napada SideWinder grupa
Uprkos oslanjanju na stariju Microsoft Office ranjivost (CVE-2017-11882), SideWinder grupa koristi brze modifikacije svog alata za izbegavanje detekcije. U svrhu targetiranja nuklearne infrastrukture, grupa kreira uverljive mejlove koji deluju kao da se odnose na regulatorna ili specifična postrojenja. Kada se otvore, ovi dokumenti pokreću lanac eksploatacije koji napadačima može da omogući pristup operativnim podacima nuklearnih objekata. I ne samo njima, nego i istraživačkim projektima i podacima o osoblju.
Puna tehnička analiza najnovijih operacija SideWinder grupe dostupna je na Securelist.com.
Kako se zaštititi od ovakvih ciljanih napada
Kaspersky štiti organizacije od ovakvih napada kroz više slojeva bezbednosti, uključujući rešenja za upravljanje ranjivostima, prevenciju napada u ranim fazama, detekciju pretnji u realnom vremenu sa automatizovanim odgovorom i kontinuirano ažurirana pravila detekcije koja su usklađena sa evolucijom malvera SideWinder grupe.
Kako bi pomogli organizacijama da zaštite ključnu infrastrukturu od sofisticiranih ciljanih napada, stručnjaci preporučuju neke od sledećih mera.
Implementirajte sveobuhvatan sistem za upravljanje zakrpama. Kaspersky Vulnerability Assessment and Patch Management obezbeđuje automatizovano otkrivanje ranjivosti i distribuciju zakrpa. Tako se eliminišu sigurnosni propusti infrastrukture.
Primenite višeslojna sigurnosna rešenja koja mogu da detektuju pretnje u realnom vremenu. Kaspersky Next XDR Expert objedinjuje i korelira podatke iz više izvora koristeći tehnologije mašinskog učenja za efikasnu detekciju pretnji i automatizovani odgovor na sofisticirane napade.
Sprovedite redovne obuke zaposlenih o sajber bezbednosti sa posebnim fokusom na prepoznavanje sofisticiranih pokušaja usko targetiranih fišing napada. Špijunaža nuklearnih elektrana možda zvuči prejako, ali se dešava. Treba biti oprezan…
