Οι χάκερ «Redfly» διείσδυσαν στο δίκτυο του προμηθευτή ρεύματος για 6 μήνες
Μια ομάδα απειλών κατασκοπείας που παρακολουθείται ως «Redfly» χακάρισε έναν εθνικό οργανισμό ηλεκτρικού δικτύου στην Ασία και διατήρησε αθόρυβα την πρόσβαση στο παραβιασμένο δίκτυο για έξι μήνες.
Αυτά τα νέα ευρήματα προέρχονται από
Symantec
ο οποίος βρήκε στοιχεία δραστηριότητας κακόβουλου λογισμικού ShadowPad στο δίκτυο του οργανισμού μεταξύ 28 Φεβρουαρίου και 3 Αυγούστου
2023
, μαζί με keylogger και εξειδικευμένους εκτοξευτές αρχείων.
Αν και το ShadowPad είναι ένας ευρέως διαθέσιμος trojan που χρησιμοποιούν πολλές ομάδες APT, η Symantec παρακολουθεί
τι
ς πρόσφατες επιθέσεις ξεχωριστά, αναφέροντας ότι το Redfly φαίνεται να εστιάζει αποκλειστικά σε κρίσιμες εθνικές υποδομές.
Η παραλλαγή ShadowPad που εμφανίζεται στις επιθέσεις μεταμφιέζει τα στοιχεία της (exe και dll) ως αρχεία VMware, ρίχνοντάς τα στο σύστημα αρχείων του θύματος.
Το πρόγραμμα επιτυγχάνει επίσης επιμονή δημιουργώντας ξανά υπηρεσίες με το όνομα VMware, ρυθμισμένες να εκκινούν το κακόβουλο εκτελέσιμο αρχείο και το DLL κατά την εκκίνηση του συστήματος.
Ψεύτικες λεπτομέρειες υπηρεσίας VMware
(Symantec)
Σε γενικές γραμμές, το ShadowPad είναι ένα ευέλικτο αρθρωτό RAT που υποστηρίζει την εξαγωγή δεδομένων στο C2, την εγγραφή πληκτρολόγησης, την αναζήτηση αρχείων και τις λειτουργίες αρχείων και την απομακρυσμένη εκτέλεση εντολών.
Πολλαπλά APT το χρησιμοποιούν επειδή δεν σχετίζεται με έναν μόνο ηθοποιό, δυσκολεύοντας την απόδοση και την παρακολούθηση για τους αναλυτές.
Στις επιθέσεις που παρατηρήθηκαν, ο Redfly χρησιμοποίησε ένα ξεχωριστό εργαλείο καταγραφής πλήκτρων που κατέγραψε πληκτρολογήσεις σε αρχεία καταγραφής στο σύστημα που είχε παραβιαστεί, τα οποία οι εισβολείς ανακτούσαν με μη αυτόματο τρόπο.
Ένα άλλο εργαλείο που χρησιμοποιούν οι
hackers
κατασκοπείας είναι το Packerloader, το οποίο χρησιμοποιείται για τη φόρτωση και την εκτέλεση shellcode μέσα σε κρυπτογραφημένα αρχεία AES ικανά να αποφύγουν την ανίχνευση AV.
Οι εισβολείς παρατηρήθηκαν να χρησιμοποιούν αυτό το εργαλείο για να εκτελέσουν κώδικα που τροποποίησε τα δικαιώματα ενός αρχείου προγράμματος οδήγησης, ο οποίος στη συνέχεια χρησιμοποιήθηκε για τη δημιουργία ενδείξεων διαπιστευτηρίων στο μητρώο των Windows (για μελλοντική ανάκτηση) και τη διαγραφή αρχείων καταγραφής συμβάντων ασφαλείας των Windows.
Το Redfly χρησιμοποιεί επίσης το PowerShell για να εκτελέσει εντολές που τον βοηθούν να συγκεντρώσει λεπτομέρειες σχετικά με συγκεκριμένες συσκευές αποθήκευσης στο παραβιασμένο σύστημα.
Η εντολή PowerShell χρησιμοποιείται για την εξαγωγή πληροφοριών μονάδας δίσκου
(Symantec)
Για πλευρική μετακίνηση, οι χάκερ χρησιμοποιούν DLL side-loading και νόμιμα εκτελέσιμα, προγραμματισμένες εργασίες που εκτελούν νόμιμα δυαδικά αρχεία και κλεμμένα διαπιστευτήρια.
Το Redfly χρησιμοποίησε επίσης μετονομασμένες εκδόσεις γνωστών εργαλείων, όπως το ProcDump, για να απορρίψει διαπιστευτήρια από το LSASS και στη συνέχεια να τα χρησιμοποιήσει για τον έλεγχο ταυτότητας σε γειτονικά συστήματα.
Η μακρά περίοδος παραμονής που παρατηρείται σε αυτή την επίθεση είναι χαρακτηριστικό των κατασκοπευτικών παραγόντων που μολύνουν συστήματα και διατηρούν χαμηλό προφίλ για τη συλλογή όσο το δυνατόν περισσότερων πληροφοριών.
Ενώ η πρόθεση των εισβολέων να διακόψουν την παροχή ρεύματος παραμένει αβέβαιη, ο πιθανός κίνδυνος αποτελεί σημαντική απειλή.
“Οι επιθέσεις εναντίον στόχων CNI
δεν είναι
άνευ προηγουμένου. Σχεδόν πριν από μια δεκαετία, η Symantec αποκάλυψε τις επιθέσεις του ομίλου Dragonfly που χρηματοδοτείται από τη Ρωσία κατά του ενεργειακού τομέα στις ΗΠΑ και την
Ευρώπη
”, καταλήγει η έκθεση της Symantec.
«Πιο πρόσφατα, η ομάδα Russian Sandworm πραγματοποίησε επιθέσεις εναντίον του δικτύου διανομής ηλεκτρικής ενέργειας στην Ουκρανία, οι οποίες είχαν ως στόχο τη διακοπή της παροχής ηλεκτρικής ενέργειας».
Μια τέτοια διαταραχή θα μπορούσε να έχει ως αποτέλεσμα εκτεταμένη ζημιά στους πελάτες του παρόχου ενέργειας και βαθιές οικονομικές επιπτώσεις για ολόκληρο το έθνος.