Κυβερνοεγκληματίες πρόσφατα προσπάθησαν να επιτεθούν στα εσωτερικά υπολογιστικά συστήματα της Ινδικής Πολεμικής Αεροπορίας (IAF) με σκοπό να κλέψουν ευαίσθητα δεδομένα. Χρησιμοποίησαν κακόβουλο λογισμικό ανοικτού κώδικα που δημιουργήθηκε με τη χρήση γλώσσας προγραμματισμού που αναπτύχθηκε από τη Google. Ωστόσο, η αεροπορία δεν έχασε κανένα δεδομένο.
Σε έκθεση ημερομηνίας 17 Ιανουαρίου, η αμερικανική εταιρεία κυβερνοασφαλείας Cyble ανέγνωρι μια παραλλαγή του κακόβουλου λογισμικού Go Stealer, που είναι δημόσια διαθέσιμο στο GitHub και είχε στοχεύσει συστήματα IAF. Δεν είναι σαφές πότε συνέβη αυτή η επίθεση. Ωστόσο, πηγές που σχετίζονται με την κατάσταση καταστούν ότι δεν χάθηκαν δεδομένα γιατί “πάρθηκαν επαρκείς μέτρα για να διασφαλιστεί η ασφάλεια.”
Εκτέλεση της επίθεσης με κακόβουλο λογισμικό:
Οι επιτιθέμενοι προσπάθησαν να εκμεταλλευτούν το ενδιαφέρον του προσωπικού της IAF για το μαχητικό αεροσκάφος Su-30 MKI, το οποίο είχε παραγγείλει 12 μονάδες η ινδική κυβέρνηση τον Σεπτέμβριο του περασμένου έτους, για να προκαλέσουν μια επίθεση με τρογάνα από απόσταση. Διέθεσαν ένα μολυσμένο ZIP αρχείο με τίτλο “SU-30_Aircraft_Procurement” μέσω του ανώνυμου παρόχου νέφους Oshi και το έστειλαν μέσω email ψαρέματος σε αξιωματικούς της Πολεμικής Αεροπορίας. Όταν ο παραλήπτης λήψει και αποσυμπιέσει το μολυσμένο ZIP αρχείο, λαμβάνει πολλά αρχεία που περιέχουν κακόβουλο λογισμικό και ένα PDF αρχείο με τίτλο “Δείγμα”, το οποίο λειτουργεί ως απόσπασμα ενώ το κακόβουλο πρόγραμμα εκτελείται στο παρασκήνιο και ευαίσθητα στοιχεία σύνδεσης κλέβονται μέσω της δημοφιλούς πλατφόρμας επικοινωνίας των επιχειρήσεων Slack.
Οι χάκερ χρησιμοποιούν ένα έγγραφο PDF για να αποσπάσουν την προσοχή των θυμάτων της επίθεσης με κακόβουλο λογισμικό της Ινδικής Πολεμικής Αεροπορίας
Η ακολουθία μόλυνσης περιλαμβάνει πρόοδο από το ZIP αρχείο σε ένα αρχείο ISO, που κορυφώνεται με τη χρήση κακόβουλου λογισμικού τύπου stealer. Η μορφή αρχείου ISO περιέχει έναν ακριβή αντίγραφο ενός οπτικού δίσκου, όπως CD, DVD ή Blu-ray, ενώ το .lnk είναι ένα προστατευμένο αρχείο δημιουργημένο από το λειτουργικό σύστημα Windows για τη δημιουργία συντομεύσεων πρόσβασης σε αποθηκευμένα αρχεία.
Αυξανόμενη κατάχρηση της γλώσσας της Google
Σε αυτή την επίθεση, οι κυβερνοεγκληματίες χρησιμοποίησαν μια παραλλαγή του Go Stealer για να είναι πιο αποτελεσματικοί εναντίον ορίσμένων περιηγητών ιστού εκτός από τους Firefox και Google Chrome. Στο GitHub, οι δημιουργοί κακόβουλου λογισμικού περιγράφουν το Go Stealer ως “κλέφτη cookie και δεδομένων σύνδεσης για Firefox + Chrome”. Το Go Stealer βασίζεται στη γλώσσα προγραμματισμού της Google που αναπτύχθηκε από την Google, η οποία χρησιμοποιείται όλο και περισσότερο από κακόβουλους για κυβερνοεπιθέσεις. Το κακόβουλο λογισμικό που βασίζεται στο Go ανίχνευται για πρώτη φορά στα μέσα του 2018 και έκτοτε χρησιμοποιείται όλο και περισσότερο από εγκληματίες, σύμφωνα με την τεχνολογική εταιρεία F5. Τον Ιανουάριο του περασμένου έτους, η Cyble ανέγνωρι ένα άλλο κακόβουλο λογισμικό με βάση το Go με το όνομα “Titan Stealer”, το οποίο ήταν θέμα οδηγού από την Φιλιππινέζικη κυβέρνηση: “Ένα κακόβουλο λογισμικό με βάση το Go μπορεί να είναι επικίνδυνο καθώς μπορεί να εξάγει εμπιστευτικές και σημαντικές πληροφορίες από ένα μολυσμένο σύστημα, προκαλώντας οικονομική ζημιά. Επιπλέον, οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν τα κλεμμένα δεδομένα για απάτη ταυτότητας και επίθεση κατά άλλων θυμάτων. Τέτοιες παραβιάσεις μπορούν να έχουν σοβαρές συνέπειες, ιδίως εάν οι πληροφορίες μιας οργανισμού διαρρεύσουν” – σύμφωνα με ανακοίνωση της Ομάδας Κατά Κυβερνοεγκληματιών της Φιλιππινέζικης Εθνικής Αστυνομίας.
Δημοσιεύτηκε από: Vani Mehrotra
Δημοσιεύθηκε στις: 2 Φεβρουαρίου 2024
Συχνές Ερωτήσεις (ΣΕΕ):
1. Ποια ήταν τα στοιχεία των κυβερνοεγκληματιών στην επίθεση στην Ινδική Πολεμική Αεροπορία (IAF);
Οι κυβερνοεγκληματίες προσπάθησαν να κλέψουν ευαίσθητα δεδομένα από τα εσωτερικά υπολογιστικά συστήματα της IAF.
2. Ποιο εργαλείο χρησιμοποιήθηκε στην επίθεση;
Τα άτομα χρησιμοποίησαν το κακόβουλο λογισμικό Go Stealer ανοικτού κώδικα, το οποίο δημιουργήθηκε χρησιμοποιώντας τη γλώσσα προγραμματισμού Go που ανέπτυξε η Google.
3. Πότε συνέβη η επίθεση;
Η ακριβής ημερομηνία της επίθεσης είναι άγνωστη, αλλά οι πηγές υποδηλώνουν ότι δεν χάθηκαν δεδομένα επειδή λήφθηκαν κατάλληλα μέτρα ασφαλείας.
4. Πώς πραγματοποιήθηκε η επίθεση από τους εγκληματίες;
Οι εγκληματίες διέδωσαν ένα μολυσμένο ZIP αρχείο που διέκρινε ως έγγραφο που σχετίζεται με την προμήθεια των αεροσκαφών Su-30 MKI μέσω email ψαρέματος προς τους ανώτερους της αεροπορίας. Όταν ο παραλήπτης λήψει και αποσυμπιέσει το μολυσμένο αρχείο, εκτελείται ένα κακόβουλο πρόγραμμα που κλέβει τα στοιχεία σύνδεσης χρησιμοποιώντας την πλατφόρμα επικοινωνίας των επιχειρήσεων Slack.
5. Ποιες είναι οι συνέπειες της επίθεσης;
Δεν χάθηκαν δεδομένα επειδή υλοποιήθηκαν μέτρα ασφαλείας. Ωστόσο, επιθέσει
