Ο Aleksei Burkov, ένας κυβερνοεγκληματίας που διαχειριζόταν εδώ και πολύ καιρό δύο από τα πιο γνωστά φόρουμ hacking της Ρωσίας, συνελήφθη το 2015 από τις ισραηλινές αρχές. Η ρωσική κυβέρνηση προσπάθησε να εμποδίσει την έκδοση του Burkov στις ΗΠΑ για τέσσερα χρόνια - ακόμη και συλλαμβάνοντας και φυλάκίζοντας μια Ισραηλινή γυναίκα για να αναγκάσει την ανταλλαγή κρατουμένων. Αυτή η προσπάθεια απέτυχε: ο Burkov στάλθηκε στην Αμερική, ομολόγησε την ενοχή του και καταδικάστηκε σε εννέα χρόνια φυλάκιση. Αλλά λίγο περισσότερο από ένα χρόνο αργότερα, απελευθερώθηκε αθόρυβα και απελάθηκε πίσω στη Ρωσία. Τώρα ορισμένοι Ρεπουμπλικάνοι νομοθέτες ρωτούν γιατί ένας Ρώσος χάκερ που κάποτε είχε χαρακτηριστεί ως «ανώτερης σημασίας περιουσιακό στοιχείο» του επετράπει να εκτίσει μειωμένη θητεία στη φυλακή.

"Ένας εκπρόσωπος του ICE δήλωσε ότι ο Burkov καταζητείται από τις ρωσικές αρχές και ένας εκπρόσωπος του DOJ αρνήθηκε ότι πραγματοποιήθηκε ανταλλαγή κρατουμένων", αναφέρει η επιστολή. «Η απόφαση για την πρόωρη απελευθέρωση του Burkov είναι περίεργη, δεδομένου των προσπαθειών που έκανε η κυβέρνηση των ΗΠΑ για να εξασφαλίσει τη σύλληψη του Burkov». Η επιστολή, υπογεγραμμένη από τα μέλη της Βουλής των Επιτροπών Δικαιοσύνης, Εσωτερικής Ασφάλειας, Πληροφοριών και Εξωτερικών Υποθέσεων, ζητούσε να μάθει γιατί ο Burkov αφέθηκε πρόωρα ελεύθερος και αν οι ΗΠΑ έλαβαν κάτι σε αντάλλαγμα. Οι νομοθέτες ζήτησαν επίσης μια λίστα με όλους τους Ρώσους υπηκόους που καταδικάστηκαν για εγκλήματα στις ΗΠΑ, οι οποίοι αφέθηκαν ελεύθεροι νωρίς από τότε που ανέλαβε τα καθήκοντά του ο Πρόεδρος Biden.

Τα αρχεία δείχνουν ότι ο Burkov βρισκόταν υπό κράτηση είτε των ισραηλινών είτε των αμερικανικών αρχών για σχεδόν πέντε χρόνια πριν από την καταδίκη του το 2020. Κατά τη στιγμή της αποφυλάκισής του, ο Burkov ήταν ήδη φυλακισμένος για σχεδόν έξι χρόνια. Πού πήγαν λοιπόν τα άλλα χρόνια της ποινής του; Αυτό παραμένει ασαφές, αλλά είναι πιθανό να έκανε κάποιο είδους συμφωνίας για να μειώσει την ποινή του. Στις 16 Ιουνίου 2021, ένα «σφραγισμένο υπερασπιστικό έγγραφο» προστέθηκε στα δικαστικά πρακτικά του Burkov, ακολουθούμενο από ένα σφραγισμένο έγγραφο που καταχωρήθηκε στις 18 Αυγούστου -- μια εβδομάδα πριν από την απέλαση του. Η πρόταση για τη σφράγιση αυτών και άλλων εγγράφων που σχετίζονται με το υπόμνημα υποβλήθηκε από ομοσπονδιακούς εισαγγελείς των ΗΠΑ και αυτά τα έγγραφα παραμένουν κρυμμένα από το κοινό.

Κάτοικος της Αγίας Πετρούπολης της Ρωσίας, ο Burkov παραδέχτηκε ότι διεύθυνε το CardPlanet, έναν ιστότοπο που πούλησε περισσότερους από 150.000 κλεμμένους λογαριασμούς πιστωτικών καρτών και ότι ήταν ιδρυτής του DirectConnection -- μιας στενά φυλασσόμενης διαδικτυακής κοινότητας που προσέλκυσε μερικούς από τους πιο καταζητούμενους Ρώσους χάκερ. Μια εμπεριστατωμένη έρευνα του 2019 στο ψευδώνυμο «K0pa» του Burkov, αποκάλυψε ότι ήταν επίσης συνδιαχειριστής του μυστικού ρωσικού φόρουμ για το έγκλημα στον κυβερνοχώρο «Mazafaka». Όπως το DirectConnection, το ρόστερ των μελών του Mazafaka ήταν ένα σύνολο επίλεκτων της Ρώσικης underground hacking σκηνής και ο K0pa έπαιξε βασικό ρόλο στον έλεγχο των νέων μελών και στην επίλυση διαφορών και για τις δύο κοινότητες.

Η ρωσική εταιρεία ασφαλείας Kaspersky διέψευσε τις φήμες ότι ο πηγαίος κώδικας των προϊόντων της έχει διαρρεύσει, με την δήλωση αυτή να έρχεται μετά τη διαρροή του πηγαίου κώδικα των συσκευών Galaxy της Samsung.

Ένα μήνυμα που δήλωνε ότι θα δινόταν στη κυκλοφορία ο πηγαίος κώδικας της Kaspersky εμφανίστηκε στο Twitter πριν από μερικές μέρες, ενώ η διαρροή του κωδικού Samsung ανακοινώθηκε στο Telegram.

Οι περισσότεροι από αυτούς τους ισχυρισμούς φαίνεται να αποτελούν μέρος ενός μοτίβου όπου ισχυρίζονται ότι οι μεγάλες εταιρείες παραβιάστηκαν και ο πηγαίος κώδικας τους διέρρευσε μετά τα περιστατικα διαρροών της Samsung και της NVIDIA. Υπάρχουν επίσης πολυάριθμοι ισχυρισμοί για απόπειρες hacking προς υποστήριξη είτε της Ρωσίας είτε της Ουκρανίας, με διάφορες ομάδες να υποστηρίζουν ότι παίρνουν διαφορετικές πλευρές.

Σύμφωνα με το δικτυακό τόπο iTWire, ορισμένοι από τους λογαριασμούς που κάνουν αυτούς τους ισχυρισμούς μπορεί να λειτουργούν από υπηρεσίες πληροφοριών που στοχεύουν να κρατήσουν εκτός ισορροπίας τους αντιπάλους τους μέσω fake news. Προσπάθειες γίνονται για να αξιολογηθούν όλοι αυτοί οι ισχυρισμοί, με κάποιους από αυτούς να είναι πολύ κοντά στην επαλήθευση.

Μια ομάδα hacktivists ισχυρίστηκε ψευδώς ότι είχε παραβιάσει τους ρωσικούς διακομιστές της Signal, το οποίο σύμφωνα με πηγές, δεν ήταν σαφές εάν ο ψευδής ισχυρισμός έγινε για πλάκα ή για να πείσει τους Ρώσους να στραφούν σε μια λιγότερο ασφαλή πλατφόρμα όπου θα μπορούσαν να υποκλέπτονται μηνύματα πιο εύκολα. Η Signal έχει τη φήμη του καλύτερου πελάτη ανταλλαγής μηνυμάτων για κινητά όσον αφορά την ασφάλεια.

Μια άλλη εταιρεία που ισχυρίστηκε ότι είχε παραβιαστεί ήταν η Epic Games, με την εν λόγω ανάρτηση στο Telegram να ισχυρίζεται ότι ο πηγαίος κώδικας για τη μηχανή Unreal ήταν μεταξύ αυτών που εκλάπησαν. Αυτό, όπως και ο ισχυρισμός της Kaspersky, αποδείχθηκε ψευδές. Η διαρροή από τον νοτιοκορεατικό κολοσσό κινητής τηλεφωνίας επιβεβαιώθηκε ωστόσο από την εταιρεία. Η Kaspersky εξέδωσε ένα tweet λέγοντας ότι οι ειδικοί της είχαν ελέγξει τους ισχυρισμούς σχετικά με διαρροές πηγαίου κώδικα.

«Το αποτέλεσμα της ανάλυσης επιβεβαιώνει ότι οι ισχυρισμοί είναι αβάσιμοι», ανέφερε η εταιρεία. "Η διαρροή δεν περιέχει τον πηγαίο κώδικα των προϊόντων της εταιρείας. Αντίθετα περιέχει μόνο δημόσια διαθέσιμα δεδομένα από τους διακομιστές της Kaspersky."

Σε επαφή για σχόλια σχετικά με αυτήν την έκρηξη διαδικτυακής δραστηριότητας, ο ερευνητής ransomware, Brett Callow, είπε: "Συμμορίες ransomware, άλλες επιχειρήσεις εγκλήματος στον κυβερνοχώρο, πολλαπλές συλλογικότητες hacktivist και ένας κρατικός εθελοντικός στρατός πληροφορικής, όλα ισχυρίζονται ότι χακάρουν ρωσικά ή ουκρανικά περιουσιακά στοιχεία".

Ο Callow, ο οποίος συνεργάζεται με την Emsisoft, μια εταιρεία που εδρεύει στη Νέα Ζηλανδία, πρόσθεσε: "Ενώ μερικοί από τους ισχυρισμούς είναι αναμφίβολα αληθινοί, άλλοι είναι αδύνατο να επαληθευτούν και πολλά είναι πιθανότατα εντελώς ψευδή. Όσοι κάνουν ψευδείς ισχυρισμούς μπορεί να είναι χαζομάρες που το κάνουν για πλάκα ή στην πραγματικότητα το κάνει στρατηγικά για να κρατήσει την άλλη πλευρά αποσπασμένη και εκτός ισορροπίας.

Η Kaspersky πρόσθεσε ότι ο πηγαίος κώδικας των προϊόντων της, μαζί με ενημερώσεις ασφάλειας και A/V, αποτελέσματα ελέγχων ασφαλείας και υλικό κατασκευής λογισμικού ήταν όλα διαθέσιμα για έλεγχο. Αυτά τα κέντρα δημιουργήθηκαν αφού η κυβέρνηση των ΗΠΑ διεξήγαγε μια εκστρατεία κατά της Kaspersky που είχε ως αποτέλεσμα η εταιρεία να χάσει τις δραστηριότητές της με τον δημόσιο τομέα.

Την περασμένη Τετάρτη, λίγες ώρες πριν ξεκινήσουν τα ρωσικά τανκς για την Ουκρανία, σήμανε συναγερμός μέσα στο Κέντρο Πληροφοριών Απειλών της Microsoft, προειδοποιώντας για ένα ασυνήθιστο κομμάτι κακόβουλου λογισμικού «υαλοκαθαριστήρα» που φαινόταν να στοχεύει τα κυβερνητικά υπουργεία και τα χρηματοπιστωτικά ιδρύματα της χώρας.

Μέσα σε τρεις ώρες, η Microsoft ρίχτηκε στη μέση ενός επίγειου πολέμου στην Ευρώπη — από 5.500 μίλια μακριά. Το κέντρο απειλών, βόρεια του Σιάτλ, ήταν σε κατάσταση υψηλού συναγερμού και γρήγορα βρήκε το κακόβουλο λογισμικό, το ονόμασε «FoxBlade» και ειδοποίησε την ανώτατη αρχή κυβερνοάμυνας της Ουκρανίας. Μέσα σε τρεις ώρες, τα συστήματα ανίχνευσης ιών της Microsoft είχαν ενημερωθεί για να μπλοκάρουν τον κώδικα, ο οποίος διαγράφει δεδομένα σε υπολογιστές που βρίσκονται στο ίδιο δίκτυο με τον μολυσμένο υπολογιστή

Στη συνέχεια, ο Tom Burt, το ανώτερο στέλεχος της Microsoft που επιβλέπει την προσπάθεια της εταιρείας να αντιμετωπίσει μεγάλες επιθέσεις στον κυβερνοχώρο, επικοινώνησε με την Anne Neuberger, την αναπληρώτρια σύμβουλο εθνικής ασφάλειας του Λευκού Οίκου για τον κυβερνοχώρο και τις αναδυόμενες τεχνολογίες. Η κ. Neuberger ρώτησε εάν η Microsoft θα εξετάσει το ενδεχόμενο να μοιραστεί λεπτομέρειες του κώδικα με τις Βαλτικές χώρες, την Πολωνία και άλλες ευρωπαϊκές χώρες, από φόβο ότι το κακόβουλο λογισμικό θα εξαπλωθεί πέρα από τα σύνορα της Ουκρανίας, ακρωτηριάζοντας τη στρατιωτική συμμαχία ή χτυπώντας τράπεζες της Δυτικής Ευρώπης.

Πριν από τα μεσάνυχτα στην Ουάσιγκτον, η κα Neuberger είχε κάνει τις απαραίτητες ενέργειες και η Microsoft είχε αρχίσει να παίζει τον ρόλο που έπαιξε η Ford Motor Company στον Β' Παγκόσμιο Πόλεμο, όταν η εταιρεία μετέτρεψε τις γραμμές παραγωγής αυτοκινήτων για να κατασκευάσει τανκς Sherman.

Μετά από χρόνια συζητήσεων στην Ουάσιγκτον και σε τεχνολογικούς κύκλους σχετικά με την ανάγκη συνεργασιών δημόσιου και ιδιωτικού τομέα για την καταπολέμηση καταστροφικών επιθέσεων στον κυβερνοχώρο, ο πόλεμος στην Ουκρανία δοκιμάζει το σύστημα. Ο Λευκός Οίκος, οπλισμένος με πληροφορίες από την Υπηρεσία Εθνικής Ασφάλειας και τη Διοίκηση Κυβερνοχώρου των Ηνωμένων Πολιτειών, επιβλέπει τις απόρρητες ενημερώσεις σχετικά με τα σχέδια κυβερνοεπιθετικής επίθεσης της Ρωσίας. Ακόμα κι αν οι αμερικανικές υπηρεσίες πληροφοριών εντοπίσουν το είδος των επιθέσεων στον κυβερνοχώρο που κάποιος —προφανώς ρωσικές υπηρεσίες πληροφοριών ή χάκερ— έριξε στην κυβέρνηση της Ουκρανίας, αυτή δεν έχει την υποδομή να κινηθεί τόσο γρήγορα για να τους εμποδίσουν.

«Είμαστε μια εταιρεία και όχι μια κυβέρνηση ή μια χώρα», σημείωσε ο Μπραντ Σμιθ, πρόεδρος της Microsoft, σε μια ανάρτηση στο blog που εξέδωσε η εταιρεία τη Δευτέρα, περιγράφοντας τις απειλές που έβλεπε. Αλλά ο ρόλος που παίζει, κατέστησε σαφές, δεν είναι ουδέτερος. Έγραψε για «συνεχή και στενό συντονισμό» με την ουκρανική κυβέρνηση, καθώς και με ομοσπονδιακούς αξιωματούχους, τον Οργανισμό Βορειοατλαντικής Συνθήκης και την Ευρωπαϊκή Ένωση.

Ουκρανοί αξιωματούχοι κυβερνοασφάλειας έχουν ειδοποιήσει ότι οι χάκερ που χρηματοδοτούνται από το κράτος της Λευκορωσίας στοχεύουν τις τους ιδιωτικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου του ουκρανικού στρατιωτικού προσωπικού. 
Ανακοινώνοντας τη δραστηριότητα σε μια ανάρτηση στο Facebook, η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (Computer Emergency Response Team, CERT-UA) είπε ότι μια μαζική εκστρατεία phishing στοχεύει τους ιδιωτικούς λογαριασμούς i.ua και meta.ua που ανήκουν στο ουκρανικό στρατιωτικό προσωπικό.

«Αφού ο λογαριασμός παραβιαστεί, οι εισβολείς, μέσω του πρωτοκόλλου IMAP, αποκτούν πρόσβαση σε όλα τα μηνύματα» και αργότερα, οι εισβολείς χρησιμοποιούν τα στοιχεία επικοινωνίας από το βιβλίο διευθύνσεων του θύματος για να στείλουν τα μηνύματα ηλεκτρονικού "ψαρέματος"".

Η CERT-UA απέδωσε τη συνεχιζόμενη εκστρατεία στην ομάδα απειλών UNC1151, την οποία η Mandiant συνέδεσε επισήμως με την κυβέρνηση της Λευκορωσίας τον Νοέμβριο του 2021. Η Mandiant συνέδεσε επίσης την υποστηριζόμενη από το κράτος ομάδα κυβερνοκατασκοπείας με την εκστρατεία παραπληροφόρησης Ghostwriter, η οποία συμμετείχε στη ρητορική κατά του ΝΑΤΟ και επιχειρήσεις hack-and-leak σε όλη την Ευρώπη. "Η ομάδα "UNC1151" με έδρα το Μινσκ βρίσκεται πίσω από αυτές τις δραστηριότητες. Τα μέλη της είναι αξιωματικοί του Υπουργείου Άμυνας της Δημοκρατίας της Λευκορωσίας", έγραψε η CERT-UA.

Όπως διαπίστωσε το τμήμα έρευνας της παγκόσμιας εταιρείας κυβερνοασφάλειας ESET, αρκετοί οργανισμοί στην Ουκρανία έχουν πληγεί από κυβερνοεπίθεση που περιλάμβανε νέο κακόβουλο λογισμικό διαγραφής δεδομένων (data wiper) με την ονομασία HermeticWiper και το οποίο επηρέασε εκατοντάδες υπολογιστές στα δίκτυά τους. Η επίθεση πραγματοποιήθηκε λίγες ώρες μετά από σειρά επιθέσεων άρνησης εξυπηρέτησης (DDoS) που έθεσε εκτός λειτουργίας αρκετές σημαντικές ιστοσελίδες στη χώρα.

Το κακόβουλο λογισμικό που ανιχνεύθηκε από τα προϊόντα της ESET ως Win32/KillDisk.NCV, εντοπίστηκε για πρώτη φορά λίγο πριν τις 5 μ.μ. τοπική ώρα (3 μ.μ. UTC) την Τετάρτη. Η χρονοσήμανση (timestamp) του data wiper, εν τω μεταξύ, δείχνει ότι δημιουργήθηκε στις 28 Δεκεμβρίου 2021, γεγονός που υποδηλώνει ότι η επίθεση μπορεί να προετοιμαζόταν για αρκετό καιρό.

Το ΗermeticWiper χρησιμοποίησε επώνυμους drivers δημοφιλούς λογισμικού διαχείρισης δίσκων. "Το wiper κάνει κατάχρηση νόμιμων drivers από το λογισμικό EaseUS Partition Master για να καταστρέψει δεδομένα", σύμφωνα με τους ερευνητές της ESET.

Επιπλέον, οι επιτιθέμενοι χρησιμοποίησαν ένα γνήσιο πιστοποιητικό υπογραφής κώδικα που εκδόθηκε σε εταιρεία με έδρα την Κύπρο που ονομάζεται Hermetica Digital Ltd., εξ ου και το όνομα του wiper.

Φαίνεται επίσης ότι τουλάχιστον σε μία περίπτωση, οι απειλητικοί φορείς είχαν πρόσβαση στο δίκτυο του θύματος πριν εξαπολύσουν το κακόβουλο λογισμικό.

Νωρίτερα την Τετάρτη, ορισμένες ουκρανικές ιστοσελίδες τέθηκαν εκτός λειτουργίας μετά από ένα νέο κύμα επιθέσεων DDoS που στοχεύουν τη χώρα εδώ και εβδομάδες.

Στα μέσα Ιανουαρίου, ένα άλλο πρόγραμμα καταστροφής δεδομένων σάρωσε την Ουκρανία. Με την ονομασία WhisperGate, το wiper μεταμφιέστηκε σε ransomware και είχε κάποια κοινά στιγμή με την επίθεση NotPetya που έπληξε την Ουκρανία τον Ιούνιο του 2017 πριν προκαλέσει χάος σε όλο τον κόσμο.

Αρκετοί ιστότοποι της ουκρανικής κυβέρνησης ήταν εκτός σύνδεσης σήμερα, ως αποτέλεσμα μιας επίθεσης DDoS, δήλωσε στο κανάλι του στο Telegram ο Mykhailo Fedorov, επικεφαλής του Υπουργείου Ψηφιακού Μετασχηματισμού της Ουκρανίας. 
Η επίθεση, η οποία επηρέασε επίσης ορισμένες τράπεζες, ξεκίνησε γύρω στις 4 μ.μ. τοπική ώρα, σύμφωνα με τον Fedorov. Δεν είπε ποιες τράπεζες δέχθηκαν επίθεση ή ποιο ήταν το μέγεθος της ζημιάς. Οι ιστότοποι του Υπουργείου Εξωτερικών της Ουκρανίας, του Υπουργικού Συμβουλίου και του Ράντα, του κοινοβουλίου της χώρας, ήταν μεταξύ αυτών που δεν λειτουργούσαν από το πρωί της Τετάρτης, ανατολική ώρα.

Οι κυβερνητικοί ιστότοποι ήταν εκτός σύνδεσης καθώς αξιωματούχοι προσπάθησαν να αλλάξουν την κυκλοφορία αλλού για να ελαχιστοποιήσουν τη ζημιά. Η πηγή της επίθεσης δεν έχει ακόμη επιβεβαιωθεί, αλλά οι διακοπές στις διαδικτυακές υπηρεσίες αυξάνονται καθώς η Ρωσία συνεχίζει να τοποθετεί στρατεύματα γύρω από τα σύνορα της Ουκρανίας. Την Τρίτη, ο Πρόεδρος Τζο Μπάιντεν είπε ότι η Ρωσία έχει ξεκινήσει «εισβολή», αφού ο Ρώσος Πρόεδρος Βλαντιμίρ Πούτιν έστειλε στρατεύματα σε δύο φιλορωσικές αποσχισμένες περιοχές στην ανατολική Ουκρανία και ανακοίνωσε κυρώσεις σε ρωσικές τράπεζες, στο δημόσιο χρέος της χώρας και σε πολλά άτομα κοντά στην Ρωσική κυβέρνηση.

Ένας εκπρόσωπος του Λευκού Οίκου είπε στο NBC News ότι «παρακολουθούν στενά» τις αναφορές από την Ουκρανία

Χάρη στην κρίση του κορωνοϊού, οι διαδικτυακές υπηρεσίες λιανικής γνωρίζουν αύξηση στην αναγνωρισιμότητα και στην αποδοχή τους από το κόσμο. Αυτό, με τη σειρά του, έχει δημιουργήσει ευκαιρίες για δραστηριότητες απάτης να βρουν ένα νέο ευρύ πεδίο δράσης, αυτό του brand Phishing. Η δικτυακός τόπος Banklesstimes.com παρουσίασε τα ευρήματα της Global Brand Phishing Report για το 4ο τρίμηνο του 2021. Η μελέτη εντόπισε εταιρείες επιρρεπείς στις περισσότερες απόπειρες hacking εκείνη την εποχή. Τα ευρήματά του αποκάλυψαν ότι οι phishers προτιμούσαν την DHL. Τα σχέδιά τους στόχευαν τις ιδιωτικές και εμπιστευτικές πληροφορίες των χρηστών.

Η παρουσίαση δεδομένων της XYZ δείχνει ότι η DHL προσέλκυσε το 23% όλων των προσπαθειών phishing, παρουσιάζοντας αύξηση 14% σε σχέση με τα στατιστικά του τρίτου τριμήνου, αντικαθιστώντας την Microsoft στην κορυφή της λίστας.

Τι εξηγεί λοιπόν τη ξαφνική αγάπη των phisers για την DHL το 4ο τρίμηνο του 2021; Ο Omer Dembinsky της Check Point Software το συνδέει με την αύξηση των νέων πελατών στο διαδίκτυο κατά τη διάρκεια των περιόδων λιανικής πώλησης με τη μεγαλύτερη κίνηση του έτους. Υποστηρίζει ότι πολλοί μεγαλύτεροι πελάτες αγόραζαν για πρώτη φορά διαδικτυακά. Επομένως, μπορεί να μην ήξεραν πώς να ελέγχουν για μηνύματα ηλεκτρονικού ταχυδρομείου επιβεβαίωσης παράδοσης ή ενημερώσεις παρακολούθησης.

Στη δεύτερη θέση έπεσε η Microsoft, η οποία είχε κυριαρχήσει στην κατάταξη του τρίτου τριμήνου. Τότε είχε προσελκύσει έως και το 29% όλων των επιθέσεων. Αλλά ο γίγαντας λογισμικού γνώρισε πτώση στο τέταρτο τρίμηνο. Το μερίδιό της στις απόπειρες phishing μειώθηκε κατά 9% και διαμορφώθηκε στο 20%.

Επιπλέον, οι πλατφόρμες κοινωνικής δικτύωσης παρέμειναν πρωταρχικοί στόχοι για συστήματα phishing. Το WhatsApp κατέλαβε την τρίτη θέση σε αυτές τις κατατάξεις του τέταρτου τριμήνου, αφού συγκέντρωσε το 11% των επιδιώξεων. Επίσης, το LinkedIn ανέβηκε από την όγδοη στην πέμπτη θέση, συγκεντρώνοντας το 8% όλων των προσπαθειών που σχετίζονται με το phishing. Αλλά το Facebook έπεσε από τις 10 κορυφαίες μάρκες που απευθύνονται στους phishers.

Ο Omer Dembinsky το αποδίδει στον ευκαιριακό χαρακτήρα των απατεώνων στον κυβερνοχώρο. Συχνά εξερευνούν τις τάσεις της αγοράς για να υποδυθούν εταιρείες που τραβούν το ενδιαφέρον. Με αυτόν τον τρόπο, οι phishers ενδέχεται να καταφέρουν να κλέψουν προσωπικές πληροφορίες ή να αναπτύξουν κακόβουλο λογισμικό στη συσκευή ενός χρήστη.

Προσθέτει ότι οι εγκληματίες θα συνεχίσουν να στοχεύουν τα μέσα κοινωνικής δικτύωσης για την εκμετάλλευσή τους. Στοχεύουν διαδικτυακούς χρήστες που, λόγω της απομακρυσμένης εργασίας και των επιπτώσεων του COVID-19, βασίζονται στα κανάλια των μέσων κοινωνικής δικτύωσης.

Οι phishers προσπαθούν να αναπαράγουν νόμιμες ιστοσελίδες διακεκριμένων εμπορικών σημάτων. Το κάνουν χρησιμοποιώντας ονόματα τομέα ή διευθύνσεις URL που μιμούνται τους πραγματικούς ιστότοπους. Επιπλέον, μπορούν να σχεδιάσουν τις ιστοσελίδες τους ώστε να μοιάζουν με νόμιμες.

Οι εισβολείς μπορούν να παρέχουν ψεύτικους συνδέσμους ιστού με διάφορους τρόπους. Το πρώτο είναι μέσω email ή γραπτών μηνυμάτων. Εναλλακτικά, οι απατεώνες μπορούν να σας ανακατευθύνουν ενώ περιηγείστε στο διαδίκτυο. Επιπλέον, το exploit μπορεί να έρθει ως κακόβουλη εφαρμογή. Όλα αυτά τα μέσα σας κατευθύνουν σε μια εικονική τοποθεσία όπου σας κλέβουν τις εμπιστευτικές σας πληροφορίες.

Δυστυχώς, οι στοχευόμενες εταιρείες δεν μπορούν να κάνουν πολλά για να αντιμετωπίσουν τέτοιες προσπάθειες. Πολλοί διαδικτυακοί χρήστες παραβλέπουν ελάχιστες ύποπτες λεπτομέρειες, όπως λάθη πληκτρολόγησης, εσφαλμένα ορθογραφικά πεδία και εσφαλμένες ημερομηνίες. Έτσι παρέχουν στους απατεώνες την ευκαιρία να επιτύχουν το σκοπό τους.

Ομάδες που συντάσσονται με την κυβέρνηση του Ιράν εκμεταλλεύονται την κρίσιμη ευπάθεια Log4j για να μολύνουν χρήστες VMware που δεν έχουν ενημερώσει τα συστήματά τους, με ransomware, δήλωσαν ερευνητές την Πέμπτη. Η εταιρεία ασφαλείας SentinelOne έχει ονομάσει την ομάδα TunnelVision. Το όνομα έχει σκοπό να τονίσει τη μεγάλη εξάρτηση της TunnelVision στα εργαλεία tunneling και τον μοναδικό τρόπο που τα αναπτύσσει. Στο παρελθόν, το TunnelVision είχε εκμεταλλευτεί τις λεγόμενες ευπάθειες 1 ημέρας -- δηλαδή ευπάθειες που έχουν επιδιορθωθεί πρόσφατα -- για να χακάρει οργανισμούς που δεν έχουν εγκαταστήσει ακόμη την επιδιόρθωση. Τα τρωτά σημεία στο Fortinet FortiOS (CVE-2018-13379) και στο Microsoft Exchange (ProxyShell) είναι δύο από τους πιο γνωστούς στόχους της ομάδας.

Η έρευνα του SentinelOne δείχνει ότι η στόχευση συνεχίζεται και ότι αυτή τη φορά ο στόχος είναι οργανισμοί που τρέχουν το VMware Horizon, ένα προϊόν εικονικοποίησης επιτραπέζιων υπολογιστών και εφαρμογών που εκτελείται σε Windows, macOS και Linux.

Ο Apache Tomcat είναι ένας διακομιστής Web ανοιχτού κώδικα που χρησιμοποιείται στο VMware και άλλο εταιρικό λογισμικό για την ανάπτυξη και εξυπηρέτηση εφαρμογών Ιστού που βασίζονται σε Java. Μόλις εγκατασταθεί, ένα shell επιτρέπει στους χάκερ να εκτελούν εξ αποστάσεως εντολές της επιλογής τους σε δίκτυα που εκμεταλλεύονται. Το PowerShell που χρησιμοποιείται εδώ φαίνεται να είναι μια παραλλαγή αυτού που είναι διαθέσιμο στο κοινό. Μόλις εγκατασταθεί, τα μέλη του TunnelVision το χρησιμοποιούν για:

• Εκτέλεση εντολών αναγνώρισης,
• Δημιουργία ενός χρήστη στην ομάδα διαχειριστών δικτύου
• Συλλογή διαπιστευτηρίων χρησιμοποιώντας ProcDump, SAM hive dumps και comsvcs MiniDump.
• Λήψη και εκτέλεση εργαλείων tunneling, συμπεριλαμβανομένων των Plink και Ngrok, τα οποία χρησιμοποιούνται για τη διοχέτευση της κυκλοφορίας δεδομένων μέσω RDP.

Οι χάκερ χρησιμοποιούν πολλαπλές νόμιμες υπηρεσίες για να επιτύχουν και να αποκρύψουν τις δραστηριότητές τους. Αυτές οι υπηρεσίες περιλαμβάνουν τις: transfer.sh, pastebin.com, webhook.site, ufile.io και raw.githubusercontent.com.

Όσοι προσπαθούν να προσδιορίσουν εάν επηρεάζεται ο οργανισμός τους θα πρέπει να αναζητήσουν ανεξήγητες εξερχόμενες συνδέσεις με αυτές τις νόμιμες δημόσιες υπηρεσίες.

Φωτογραφία: Getty Images

Οι εγκληματίες του κυβερνοχώρου στοχεύουν ολοένα και περισσότερο διακομιστές και υποδομές cloud βασισμένα σε λειτουργικό Linux, για να ξεκινήσουν επιθέσεις ransomware, cryptojacking και άλλες παράνομες δραστηριότητες — και πολλοί οργανισμοί είναι "ξέφραγα αμπέλια" επειδή η υποδομή τους έχει διαμορφωθεί λανθασμένα ή δεν υπάρχει η σωστή διαχείριση του συστήματος (σημ. μτφ. μιας και ο "πληροφορικάριος" είναι το παιδί για όλες τις δουλείες). Η ανάλυση από ερευνητές κυβερνοασφάλειας της VMware προειδοποιεί ότι το κακόβουλο λογισμικό που στοχεύει συστήματα που βασίζονται σε Linux αυξάνεται σε όγκο και πολυπλοκότητα, ενώ υπάρχει επίσης έλλειψη εστίασης στη διαχείριση και τον εντοπισμό απειλών εναντίον τους.

Αυτό έρχεται μετά την αύξηση των επιχειρήσεων που χρησιμοποιούν υπηρεσίες που βασίζονται σε cloud, λόγω της αύξησης της υβριδικής εργασία (εξ 'αποστάσεως εργασία), με το Linux να είναι το πιο κοινό λειτουργικό σύστημα σε αυτά τα περιβάλλοντα. Αυτή η άνοδος άνοιξε νέους δρόμους που οι εγκληματίες του κυβερνοχώρου μπορούν να εκμεταλλευτούν για να υπονομεύσουν τα εταιρικά δίκτυα, όπως περιγράφεται στο ερευνητικό έγγραφο, συμπεριλαμβανομένων επιθέσεων ransomware και cryptojacking προσαρμοσμένων για να στοχεύουν διακομιστές Linux σε περιβάλλοντα που ενδέχεται να μην παρακολουθούνται τόσο αυστηρά όσο εκείνα που χρησιμοποιούν Windows. Αυτές οι επιθέσεις έχουν σχεδιαστεί για μέγιστο αντίκτυπο, καθώς οι εγκληματίες του κυβερνοχώρου προσπαθούν να εισχωρήσουν σε όσο το δυνατόν μεγαλύτερο ποσοστό του δικτύου - στόχου πριν ξεκινήσουν τη διαδικασία κρυπτογράφησης και τελικά απαιτήσουν λύτρα για το κλειδί αποκρυπτογράφησης.

Η αναφορά προειδοποιεί ότι το ransomware έχει εξελιχθεί για να στοχεύει διακομιστές Linux που χρησιμοποιούνται για την μεταφορά του φόρτου εργασίας σε εικονικά περιβάλλοντα, επιτρέποντας στους εισβολείς να κρυπτογραφούν ταυτόχρονα τεράστια τμήματα του δικτύου και να κάνουν πιο δύσκολη την απόκριση σε περιστατικά. Οι επιθέσεις σε περιβάλλοντα cloud έχουν επίσης ως αποτέλεσμα οι εισβολείς να κλέβουν πληροφορίες από διακομιστές, τις οποίες απειλούν να δημοσιεύσουν εάν δεν πληρωθούν λύτρα.

Πολλές από τις κυβερνοεπιθέσεις που στοχεύουν περιβάλλοντα Linux εξακολουθούν να είναι σχετικά απλές σε σύγκριση με ισοδύναμες επιθέσεις που στοχεύουν συστήματα Windows — αυτό σημαίνει ότι με τη σωστή προσέγγιση για την παρακολούθηση και την ασφάλεια συστημάτων που βασίζονται σε Linux, πολλές από αυτές τις επιθέσεις μπορούν να αποτραπούν. Αυτό περιλαμβάνει διαδικασίες ασφαλούς χρήσης των υπολογιστικών συστημάτων, όπως η διασφάλιση ότι οι προεπιλεγμένοι κωδικοί πρόσβασης δεν χρησιμοποιούνται και η αποφυγή κοινής χρήσης ενός λογαριασμού σε πολλούς χρήστες.

Το 2020, η ομοσπονδιακή αστυνομία χρησιμοποίησε ένα ένταλμα γεωπροσδιορισμού (geofence warrant) για να λάβει δεδομένα τοποθεσίας από την Google ως μέρος έρευνας για απόπειρα εμπρησμού του αρχηγείου της Αστυνομίας του Σιάτλ, σύμφωνα με πρόσφατα αποσφραγισμένα δικαστικά έγγραφα που δημοσιεύθηκαν από το The Verge. Η απόπειρα εμπρησμού έλαβε χώρα στις 24 Αυγούστου, μία ημέρα μετά τον πυροβολισμό του Τζέικομπ Μπλέικ στην Κενόσα του Ουισκόνσιν που προκάλεσε αναζωπύρωση διαμαρτυριών για τη φυλετική δικαιοσύνη στις ΗΠΑ. Εν μέσω ευρύτερων αντιδράσεων στο Σιάτλ, δύο άτομα πέταξαν αυτοσχέδιες βόμβες στην πίσω είσοδο του αρχηγείου της Αστυνομίας του Σιάτλ.

Αν και το ίδιο το κτίριο δεν υπέστη σημαντικές ζημιές στην επίθεση, το περιστατικό προκάλεσε την ουσιαστική αντίδραση της αστυνομίας. Κάποια στιγμή, το FBI πρόσφερε αμοιβή 20.000 δολαρίων για οποιαδήποτε πληροφορία σχετίζεται με τον απόπειρα εμπρησμού. Τα δικαστικά έγγραφα δείχνουν ότι η υπηρεσία πίεσε επίσης την Google για πληροφορίες σχετικά με τους δύο υπόπτους. Το FBI χρησιμοποίησε ένα ένταλμα γεωπροσδιορισμού για να λάβει δεδομένα τοποθεσίας από συσκευές Android που βρίσκονταν κοντά στην απόπειρα εμπρησμού πριν και μετά την εκτέλεσή του. Η Google συμμορφώθηκε με το αίτημα μία ημέρα αργότερα.

"Όπως συμβαίνει με όλα τα αιτήματα επιβολής του νόμου, έχουμε μια αυστηρή διαδικασία που έχει σχεδιαστεί για να προστατεύει το απόρρητο των χρηστών μας ενώ υποστηρίζει το σημαντικό έργο της επιβολής του νόμου", δήλωσε εκπρόσωπος της Google. Όπως επισημαίνει το The Verge, το γεγονός ότι αργότερα το FBI έκανε δημόσια έκκληση για βοήθεια στην υπόθεση υποδηλώνει ότι τυχόν δεδομένα τοποθεσίας που ελήφθησαν από την Google μπορεί να μην την βοήθησαν να πλησιάσει τον εντοπισμό των δύο υπόπτων.

Τι είναι το BlackCat ransomware;

Το BlackCat ransomware (επίσης γνωστό ως ALPHV) είναι μια σχετικά νέα επιχείρηση ransomware-as-a-service (RaaS), η οποία στρατολογεί συνεργάτες από άλλες ομάδες ransomware και στοχεύει οργανισμούς σε όλο τον κόσμο.

Τι κάνει τη BlackCat να διαφέρει από άλλους παρόχους υπηρεσιών ransomware-as-a-service;

Όπως και άλλες ομάδες ransomware, η BlackCat εκβιάζει οργανισμούς κλέβοντας ευαίσθητα δεδομένα (και απειλώντας να τα δημοσιοποιήσει) κρυπτογραφώντας παράλληλα τα συστήματά τους. Όμως, η BlackCat προχωρά ένα βήμα παραπέρα και απειλεί επίσης να εξαπολύσει κατανεμημένες επίθεσεις άρνησης παροχής υπηρεσιών (DDoS) εάν δεν ικανοποιηθούν οι απαιτήσεις της.

Αυτή η τεχνική είναι γνωστή ως "τριπλός εκβιασμός".

Επιπλέον, η BlackCat έχει κερδίσει έδαφος από τα τέλη του 2021 προσφέροντας πληρωμές στους συνεργάτες της έως και 90%.

Έτσι, οι εγκληματίες που συνεργάζονταν προηγουμένως με τις κυβερνο-συμμορίες REvil, BlackMatter και DarkSide ransomware μπορεί να δελεαστούν να χρησιμοποιήσουν το BlackCat?

Ακριβώς.

Και τα πιθανά οικονομικά κέρδη που μπορούν να αποκομίσουν οι συνεργάτες του BlackCat ransomware μπορεί να ενισχυθούν περαιτέρω από το γεγονός ότι το εξελιγμένο BlackCat ransomware είναι γραμμένο στη γλώσσα προγραμματισμού Rust. Η χρήση της Rust μειώνει τις πιθανότητες το εκτελέσιμο ransomware να περιέχει σφάλματα τα οποία οι ερευνητές ασφαλείας μπορεί να είναι σε θέση να εκμεταλλευτούν, καθώς και να μπορεί να εντοπίζει και να κρυπτογραφεί γρήγορα αρχεία σε στοχευμένα δίκτυα και να τρέχει σε συστήματα Windows και Linux.

Άρα, δεν είναι μόνο οι υπολογιστές με Windows που θα μπορούσαν να πληγούν!

Σωστά. Πράγμα που σημαίνει ότι υπάρχει πιθανότητα να πληγούν ακόμη περισσότερα συστήματα υπολογιστών σε έναν οργανισμό - συμπεριλαμβανομένων και αυτών που οι διαχειριστές συστημάτων μπορεί να φαντάζονταν ότι δεν θα ήταν ευάλωτοι.

Ακούγεται άσχημο. Υπήρξαν επιθέσεις υψηλού προφίλ που συνδέονται με την ομάδα BlackCat ransomware;

Το ZDNet αναφέρει ότι η BlackCat ήταν υπεύθυνη για την επίθεση του περασμένου Σαββατοκύριακου σε δύο γερμανικές πετρελαϊκές εταιρείες, προκαλώντας σοβαρή διαταραχή σε εκατοντάδες πρατήρια καυσίμων και αναγκάζοντας μία από τις μεγαλύτερες εταιρείες πετρελαίου και φυσικού αερίου να αναδρομολογήσει προμήθειες.

Πόσα χρήματα ζητάει η BlackCat;

Αυτό ποικίλλει ανάλογα με τον στόχο, αλλά ορισμένες εταιρείες φέρονται να έχουν γίνει αποδέκτες απαιτήσεων ύψους έως και 14 εκατομμυρίων δολαρίων.

Υπάρχουν εκπτώσεις για τις εταιρείες που πληρώνουν νωρίς.(Εικόνα: Τripwire)

Μα αυτοί είναι κυβερνοεγκληματίες! Γνωρίζουμε κάτι γι αυτούς;

Είναι πιθανό η BlackCat να γεννήθηκε από τις στάχτες άλλων ομάδων ransomware, μερικές από τις οποίες έχουν αισθανθεί την πίεση τον τελευταίο καιρό λόγω πολλών συλλήψεων και μέτρων που έχουν ληφθεί κατά των υποδομών από τις διωκτικές αρχές.

Ο δημοσιογράφος-ερευνητής σε θέματα ασφάλειας στον κυβερνοχώρο Brian Krebs δημοσίευσε μια ενδιαφέρουσα περιγραφή της επαφής του με διαδικτυακούς εγκληματίες που ενδέχεται να σχετίζονται με την BlackCat. Αυτό που μπορεί να ειπωθεί με κάποια βεβαιότητα είναι ότι η ομάδα είναι ρωσόφωνη.

Πώς μπορεί να προστατευτεί ένας οργανισμός ή μια επιχείρηση από το BlackCat ransomware;

Πρόκειται για τις ίδιες συμβουλές όπως και για άλλα ransomware, οι οποίες περιλαμβάνουν:

• τη δημιουργία ασφαλών εξωτερικών αντιγράφων ασφαλείας.
• την εκτέλεση ενημερωμένων λύσεων ασφαλείας και τη διασφάλιση ότι οι υπολογιστές σας προστατεύονται με τα πιο πρόσφατα patches ασφαλείας κατά των ευπαθειών.
• τη χρήση μοναδικών κωδικών πρόσβασης που είναι δύσκολο να παραβιαστούν για την προστασία ευαίσθητων δεδομένων και λογαριασμών, καθώς και την ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων.
• κρυπτογράφηση ευαίσθητων δεδομένων όπου είναι δυνατόν.
• τακτική ενημέρωση και εκπαίδευση του προσωπικού σχετικά με τους κινδύνους και τις μεθόδους που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για την εξαπόλυση επιθέσεων και την κλοπή δεδομένων.

Εάν η εταιρεία μου είχε την ατυχία να πέσει θύμα της BlackCat, θα πρέπει να πληρώσουμε τα λύτρα;

Αυτή είναι μια απόφαση που μόνο η εταιρεία σας μπορεί να λάβει. Όσες περισσότερες εταιρείες πληρώσουν λύτρα, τόσο πιο πιθανό είναι οι εγκληματίες να εξαπολύσουν παρόμοιες επιθέσεις στο μέλλον. Ταυτόχρονα, η επιχείρησή σας μπορεί να αισθάνεται ότι δεν έχει άλλη επιλογή από το να λάβει τη δύσκολη απόφαση να πληρώσει, εάν η εναλλακτική λύση είναι να κινδυνεύσει ολόκληρη η επιχείρηση. Όποια κι αν είναι η απόφασή σας, θα πρέπει να ενημερώσετε τις υπηρεσίες αφαλείας για το περιστατικό και να συνεργαστείτε μαζί τους για να τις βοηθήσετε να διερευνήσουν ποιος μπορεί να βρίσκεται πίσω από τις επιθέσεις.

Και να θυμάστε το εξής: η πληρωμή των λύτρων δεν σημαίνει απαραίτητα ότι έχετε εξαλείψει τα προβλήματα ασφαλείας που σας επέτρεψαν να μολυνθείτε εξαρχής. Εάν δεν ανακαλύψετε τι πήγε στραβά - και γιατί - και δεν το διορθώσετε, τότε θα μπορούσατε εύκολα να γίνετε στόχος και στο μέλλον.

Ένας νέος τύπος κακόβουλου λογισμικού ακολουθεί μια σαφώς πιο αθόρυβη και δύσκολα αφαιρούμενη πορεία στο λειτουργικό σας σύστημα - κρύβεται στο τσιπ BIOS και έτσι παραμένει ακόμα και μετά την επανεγκατάσταση του λειτουργικού σας συστήματος ή το format του σκληρού σας δίσκου ενώ μπορεί να εγκατασταθεί εξ αποστάσεως.

Η Kaspersky έχει παρατηρήσει την αύξηση των απειλών κακόβουλου λογισμικού firmware UEFI (Unified Extensible Firmware Interface) από το 2019, με τις περισσότερες να αποθηκεύουν κακόβουλο λογισμικό στον τομέα συστήματος EFI της συσκευής αποθήκευσης του υπολογιστή. Ωστόσο, κατά τη διάρκεια του νέου έτους εντοπίστηκε μια δυσοίωνη εξέλιξη με ένα νέο κακόβουλο λογισμικό UEFI, το οποίο εντοπίστηκε από τα αρχεία καταγραφής του σαρωτή υλικολογισμικού της Kasperksy και το οποίο εμφυτεύει κακόβουλο κώδικα στο Flash της σειριακής περιφερειακής διασύνδεσης (SPI) της μητρικής κάρτας. Οι ερευνητές ασφαλείας ονόμασαν αυτό το κακόβουλο λογισμικό "MoonBounce".

Το MoonBounce δεν είναι το πρώτο κακόβουλο λογισμικό UEFI που στοχεύει στο SPI flash. Η Kaspersky αναφέρει ότι πριν από αυτό προηγήθηκαν τα LoJax και MosaicRegressor. Ωστόσο, το MoonBounce παρουσιάζει "σημαντική πρόοδο, με πιο περίπλοκη ροή επίθεσης και μεγαλύτερη τεχνική πολυπλοκότητα". Φαίνεται επίσης να έχει μολύνει ένα μηχάνημα εξ αποστάσεως.

Το MoonBounce είναι αναμφισβήτητα έξυπνο στον τρόπο με τον οποίο εισέρχεται σε ένα σύστημα και καθιστά δύσκολο τον εντοπισμό και την εξουδετέρωσή του. "Η πηγή της μόλυνσης ξεκινά με ένα σύνολο από hooks που αναχαιτίζουν την εκτέλεση διαφόρων λειτουργιών στον πίνακα υπηρεσιών εκκίνησης EFI", εξηγεί η Kaspersky στο blog SecureList. Τα hooks χρησιμοποιούνται στη συνέχεια για να εκτρέψουν τις κλήσεις των λειτουργιών στον κακόβουλο shellcode που οι επιτιθέμενοι έχουν προσαρτήσει στην εικόνα CORE_DXE. Αυτό, με τη σειρά του, "δημιουργεί πρόσθετα hooks στα επόμενα συστατικά της αλυσίδας εκκίνησης, δηλαδή στον φορτωτή των Windows", ανέφεραν οι ερευνητές ασφαλείας. Αυτό επιτρέπει την εισαγωγή του κακόβουλου λογισμικού σε μια διαδικασία svchost.exe κατά την εκκίνηση του υπολογιστή στα Windows.

Οι τιμές των δεικτών αντικαθίστανται κατά τη διάρκεια της εκτέλεσης εντός του κώδικα κελύφους στο MoonBounce. (Εικόνα: Kaspersky Labs)

Εταιρεία τεχνολογίας μεταφορών η μόνη καταγεγραμμένη επίθεση μέχρι στιγμής

Φυσικά, η Kaspersky ενδιαφέρθηκε να δει τι θα έκανε στη συνέχεια το κακόβουλο λογισμικό. Έτσι, σε ένα μολυσμένο μηχάνημα, οι ερευνητές παρατήρησαν τη διαδικασία του κακόβουλου λογισμικού να προσπαθεί να αποκτήσει πρόσβαση σε μια διεύθυνση URL για να αντλήσει το ωφέλιμο φορτίο του επόμενου σταδίου και να το εκτελέσει στη μνήμη. Είναι ενδιαφέρον ότι αυτό το μέρος της εξελιγμένης επίθεσης δεν φάνηκε να πηγαίνει πουθενά, οπότε δεν ήταν δυνατό να αναλυθούν περαιτέρω βήματα του MoonBounce. Ίσως αυτό το κακόβουλο λογισμικό βρισκόταν ακόμη σε στάδιο δοκιμών όταν εντοπίστηκε ή/και κρατείται για ειδικούς σκοπούς. Επιπλέον, το κακόβουλο λογισμικό δεν βασίζεται σε αρχεία και εκτελεί τουλάχιστον ορισμένες από τις λειτουργίες του μόνο στη μνήμη, γεγονός που καθιστά δύσκολο να δούμε τι ακριβώς έκανε το MoonBounce στον μοναδικό υπολογιστή-ξενιστή στο δίκτυο μιας εταιρείας.

Ένα μόνο μηχάνημα, που ανήκει σε μια εταιρεία μεταφορών, φαίνεται να είναι το μοναδικό μηχάνημα στα αρχεία καταγραφής της Kaspersky που έχει μια μόλυνση MoonBounce στο SPI Flash του. Δεν είναι βέβαιο πώς πραγματοποιήθηκε η μόλυνση, αλλά πιστεύεται ότι προκλήθηκε εξ αποστάσεως. Αυτό το μοναδικό μηχάνημα σε μια εταιρεία τεχνολογίας μεταφορών φαίνεται να έχει εξαπλώσει εμφυτεύματα κακόβουλου λογισμικού μηUEFI σε άλλα μηχανήματα στο δίκτυο. Με μεγάλο μέρος της εργασίας του να μην περιέχει αρχεία και να παραμένει μόνο στη μνήμη, δεν είναι εύκολο να παρατηρηθεί από αυτό το μοναδικό δείγμα.

Παρακάτω, ένα διάγραμμα ροής αναλύει τον τρόπο με τον οποίο το MoonBounce εκκινεί και αναπτύσσεται από τη στιγμή που ενεργοποιείται ο υπολογιστής σας με UEFI, μέσω της φόρτωσης των Windows και μέχρι να γίνει ένας χρησιμοποιήσιμος αλλά μολυσμένος υπολογιστής.

(Εικόνα: Kaspersky Labs)

Ανιχνεύθηκαν δακτυλικά αποτυπώματα της ομάδας APT41

Ένας άλλος σημαντικός κλάδος της δουλειάς που κάνουν οι ερευνητές ασφάλειας όπως η Kaspersky είναι να εξετάζουν ποιος βρίσκεται πίσω από το κακόβουλο λογισμικό που ανακαλύπτει, ποιοι είναι οι σκοποί του κακόβουλου λογισμικού και για ποιους συγκεκριμένους στόχους είναι προετοιμασμένο το κακόβουλο λογισμικό.

Όσον αφορά το MoonBounce, η Kaspersky φαίνεται αρκετά σίγουρη ότι αυτό το κακόβουλο λογισμικό είναι προϊόν του APT41, "ενός φορέα απειλών που έχει αναφερθεί ευρέως ότι είναι κινεζόφωνος". Σε αυτή την περίπτωση, το αποδεικτικό στοιχείο είναι ένα "μοναδικό πιστοποιητικό" που το FBI έχει ήδη αναφέρει ότι σηματοδοτεί τη χρήση υποδομών που ανήκουν στην APT41. Η APT41 έχει ιστορικό επιθέσεων στην αλυσίδα εφοδιασμού, οπότε πρόκειται για τη συνέχιση ενός κεντρικού νήματος των κακόβουλων επιχειρήσεων της APT41.

Μέτρα ασφαλείας

Για να αποφύγετε να πέσετε θύμα του MoonBounce ή παρόμοιου κακόβουλου λογισμικού UEFI, η Kaspersky προτείνει ορισμένα μέτρα. Συνιστά στους χρήστες να ενημερώνουν το υλικολογισμικό UEFI απευθείας από τον κατασκευαστή, να επαληθεύουν ότι το BootGuard είναι ενεργοποιημένο όπου είναι διαθέσιμο και να ενεργοποιούν τα Trust Platform Modules. Τέλος, συνιστά μια λύση ασφαλείας που σαρώνει το υλικολογισμικό του συστήματος για προβλήματα, ώστε να μπορούν να ληφθούν μέτρα όταν εντοπιστεί κακόβουλο λογισμικό UEFI.