Μια ιδιαίτερα εξελιγμένη κυβερνοεπίθεση με «βιτρίνα» το ransomware αποκάλυψαν ερευνητές κυβερνοασφάλειας, προειδοποιώντας ότι Ιρανοί hackers χρησιμοποίησαν το Microsoft Teams για να αποκτήσουν πρόσβαση σε εταιρικά δίκτυα και να κλέψουν ευαίσθητα δεδομένα.
Σύμφωνα με έρευνα της Rapid7, οι δράστες προσποιούνταν στελέχη IT support, επικοινωνούσαν με εργαζόμενους μέσω Teams και τους έπειθαν να εγκαταστήσουν λογισμικό απομακρυσμένης πρόσβασης.
Αφού αποκτούσαν έλεγχο του υπολογιστή, εγκαθιστούσαν malware και infostealers, έκλεβαν κωδικούς, τροποποιούσαν ρυθμίσεις πολυπαραγοντικού ελέγχου ταυτότητας (MFA) και αποσπούσαν δεδομένα από τα παραβιασμένα συστήματα.
Το πιο ανησυχητικό στοιχείο της υπόθεσης είναι ότι οι hackers ενεργοποίησαν στο τέλος ransomware τύπου Chaos, δημιουργώντας την εντύπωση ότι στόχος ήταν οικονομικά λύτρα.
Ωστόσο, σύμφωνα με τους ερευνητές, το ransomware χρησιμοποιήθηκε κυρίως ως «καπνός» για να κρυφτεί η πραγματική επιχείρηση κυβερνοκατασκοπείας.
Η εταιρεία ασφαλείας εκτιμά με «μέτρια βεβαιότητα» ότι πίσω από την επίθεση βρίσκεται η ομάδα MuddyWater, γνωστή επίσης ως Static Kitten, Mango Sandstorm και Seedworm.
Σύμφωνα με την ανάλυση οι επιτιθέμενοι επικοινωνούσαν μέσω Teams σαν να ήταν εσωτερικό IT προσωπικό, έπειθαν τα θύματα ότι υπάρχει τεχνικό πρόβλημα και ζητούσαν εγκατάσταση του AnyDesk. Στη συνέχεια αποκτούσαν πλήρη απομακρυσμένο έλεγχο, εγκαθιστούσαν εργαλεία κλοπής δεδομένων κατεφέρνοντας να αποσπάσουν ευαίσθητες πληροφορίες.
Οι ερευνητές σημειώνουν ότι οι τεχνικές κοινωνικής μηχανικής (social engineering) έπαιξαν καθοριστικό ρόλο στην επιτυχία της επίθεσης.
Η Rapid7 υπογραμμίζει ότι η συγκεκριμένη υπόθεση δείχνει πώς κρατικά υποστηριζόμενες ομάδες hackers χρησιμοποιούν πλέον τεχνικές που παραπέμπουν σε «κλασικές» εγκληματικές συμμορίες ransomware.
Όπως αναφέρουν οι ειδικοί, η μεγάλη διαφορά βρίσκεται στο τελικό κίνητρο.
Στην προκειμένη περίπτωση, η βασική επιδίωξη φαίνεται πως δεν ήταν τα χρήματα από λύτρα, αλλά η υποκλοπή δεδομένων και η κατασκοπεία.
Η υπόθεση έρχεται να προστεθεί στη συνεχώς αυξανόμενη λίστα κυβερνοεπιθέσεων που αξιοποιούν εργαλεία καθημερινής εργασίας όπως το Microsoft Teams και εφαρμογές remote access.
Οι ειδικοί ασφαλείας προειδοποιούν ότι οι εργαζόμενοι πρέπει να είναι ιδιαίτερα προσεκτικοί απέναντι σε αιτήματα τεχνικής υποστήριξης από άγνωστους λογαριασμούς, ακόμη κι αν φαίνονται «επίσημα».
Περισσότερες ειδήσεις
«Φιάσκο» από την πρώτη μέρα η εφαρμογή επαλήθευσης ηλικίας; Ο Durov μιλά για hack σε… δύο λεπτά
E-mail… υπό κατάληψη χωρίς να το καταλάβετε – Το τρικ που δεν «πιάνει» ούτε η αλλαγή κωδικού
Προσωπικά δεδομένα… σε δημόσια θέα – Το 52% μπορεί να δει την οθόνη σας στο μετρό
