În această săptămână, Daniel ne povestește despre modul de operare al grupării de hackeri Maze și implicațiile acțiunilor acestora pentru domeniul securității statale.
Ultimii ani au adus mișcări interesante în spațiul cibernetic. În acest context, putem observa o intensificare a fenomenului ransomware. Acest vector de atac constă în infectarea victimei cu un tip de software malițios prin intermediul căruia un atacator poate bloca accesul victimei la propriile fișiere. Odată ce sistemul a fost blocat, atacatorul începe să șantajeze victima, promițându-i redarea accesului în schimbul plății unei sume de bani, în bitcoin sau alte criptomonede.
Analizând cronologia acestui fenomen, încă de la prima apariție a acestui vector de atac în 1989, putem stabili în linii mari același modus operandi: șantajarea victimelor infectate, având ca scop câştigul financiar al atacatorului.
Deși campaniile ransomware întreprinse în ultimii ani asupra unui număr de instituții, atât din sectorul public cât şi din cel privat, reprezintă în sine un atentat la siguranța cetățenilor, ce facem atunci când însuşi structurile de apărare sunt vizate de astfel de atacuri?
SophosLabs semnalează într-un raport din mai 2020, apariția unei modificări în modul clasic de operare al unei campanii de ransomware. Această schimbare de tactică a fost observată inițial în campaniile întreprinse de gruparea Maze, aceștia adăugând ca și consecință a neachitării răscumpărării, posibilitatea divulgării către presă sau către alți actori, a informațiilor furate în prealabil de pe sistemul victimei.
Una din cele mai recente campanii ale grupării Maze, întreprinsă împotriva Westech International – companie americană din domeniul nuclear, arată cum fenomenul ransomware se poate transforma cu uşurinţa într-o amenințare la adresa securității naționale. Westech International este un contractor al Northrop Grumman și se ocupă cu mentenanța și întreținerea unor subsisteme din cadrul programului rachetelor balistice intercontinentale sol-aer (ICBM) Minuteman III. Declaraţia post factum oferită presei de către Westech International confirmă modul de operare descris mai sus. În urma livrării payload-ului, unul sau mai multe sisteme din interiorul companiei au fost afectate, acestea având sistemul de fişiere criptat și încărcat pe serverele atacatorilor.
Deși nu există o legătură directă între gruparea din spatele atacului și anumite entități statale, implicațiile acestei campanii sunt majore întrucât există posibilitatea ca cei de la Maze să vândă informațiile clasificate obținute în urma atacului unor state adversare. Acest lucru nu ar fi o premieră întrucât în trecut au existat situaţii în care unele servicii de informații din Orient au colaborat cu astfel de grupări.
Campaniile întreprinse de către cei din spatele Maze prezintă un grad ridicat de organizare operațională și planificare. O bună parte din timpul alocat unei operațiuni este reprezentată de etapa de recunoaștere. Aici atacatorul culege informații despre structura ierarhică a companiei din surse publice precum Linkedin. Odată ce departamentele vulnerabile au fost identificate, atacatorul executa o campanie de phishing, mascând software-ul malițios în spatele unui e-mail ce pare legitim.
Deși, bazându-ne pe campaniile anterioare întreprinse de gruparea Maze, putem deduce modul de execuție al campaniei care a targetat Westech International, detaliile operaționale vor fi scoase la suprafaţă doar în urma investigației.
Autor: Daniel Leu (analist securitate informatică)
Sursă foto: bankinfosecurity.com