Cercetătorii Eset au descoperit recent câteva atacuri direcționate extrem de bine puse la punct, care debutau sub forma unor campanii de spearphishing pe LinkedIn și care utilizau o mulțime de trucuri pentru a rămâne cât mai mult sub “radarul” de securitate al companiilor vizate, atacuri al căror scop nu era doar spionajul, ci aparent și cel de a obține câștiguri financiare. Atacurile, pe care cercetătorii ESET le-au denumit Operation In(ter)ception pe baza unui eșantion de malware numit „Inception.dll”, au avut loc din septembrie până în decembrie 2019.
Oferta de angajare pe LinkedIN
Atacurile analizate de cercetătorii noștri debutau cu un mesaj trimis prin platforma LinkedIn. Mesajul era de fapt o ofertă de angajare destul de credibilă, care părea să vină din partea unei companii bine cunoscute, dintr-un sector de activitate relevant pentru victimă. Desigur, profilul LinkedIn folosit pentru trimitere era unul fals, iar fișierele expediate împreună cu acesta aveau conținut malware.
Odată ce destinatarul deschidea fișierul, era afișat un document PDF în aparență inofensiv, cu informații salariale legate de falsa ofertă de angajare. Între timp, malware-ul era implementat în fundal pe computerul compromis astfel al victimei. Atacatorii reușeau așadar să pună bazele operațiunii și să câștige încet încet prin aceasta infiltrare o persistență solidă în sistemul informatic afectat.
În continuare, atacatorii derulau o serie de pași descriși în detaliu de către cercetătorii ESET în lucrarea de analiză denumită “Operation In(ter)ception: Targeted attacks against European aerospace and military companies”. Printre instrumentele utilizate de atacatori se număra secvențe malware gândite să acționeze în mai multe etape succesive, care era de multe ori deghizate sub forma unui software legitim, precum și versiuni modificate de instrumente open-source. În plus, s-au folosit și de așa-numitele tehnici „living off the land”, care presupun abuzarea utilităților Windows preinstalate pentru a efectua diverse operațiuni rău intenționate.
Pe lângă spionaj, cercetătorii ESET au găsit dovezi că atacatorii au încercat să folosească conturile compromise pentru a sustrage bani de la alte companii. În unul din cazurile investigate, atacatorii au găsit printre e-mailurile unei victime comunicări cu privire la o factură neplătită. Aceștia nu au ezitat să profite de ocazie și au continuat conversația, îndemnând clientul să plătească factura – cu scopul de a direcționa banii, desigur, către un cont bancar ilegitim. Din fericire, victima a devenit suspicioasă și s-a adresat băncii pentru suport, împiedicând, astfel, încercarea atacatorilor de a derula un așa-numit atac de adresă de e-mail business compromisă.
Această încercare de a monetiza accesul ilegal la rețeaua victimei ar trebui să reprezinte încă un motiv pentru a implementa o protecție solidă împotriva intruziunilor și pentru a le oferi angajaților o instruire temeinică în domeniul securității cibernetice. O astfel de măsură ar putea ajuta angajații să recunoască mai ușor chiar și tehnicile de inginerie socială mai puțin cunoscute, precum cele utilizate în operațiunea Operation In(ter)ception”, concluzionează Breitenbacher.
Analiza detaliată a cazului și a activității este aici (PDF).