Kaspersky: Ψηφιακή κατασκοπεία στη Ρωσία από την Awaken Likho

Μία νέα σειρά επιθέσεων τύπου APT (Advanced Persistent Threat) από την Awaken Likho με στόχο κυβερνητικούς και βιομηχανικούς τομείς στη Ρωσία, αποκάλυψε η εταιρεία Kaspersky.

Η απειλητική ομάδα, που είναι ακόμα ενεργή, έχει προσαρμόσει τις τακτικές της για να βελτιώσει την αποτελεσματικότητα των επιθέσεών της και να αποφύγει τον εντοπισμό της. Σε αυτή την τελευταία εκστρατεία, οι επιτιθέμενοι χρησιμοποιούν το MeshCentral, μια δωρεάν, διαδικτυακή πλατφόρμα για τον εξ αποστάσεως χειρισμό συστημάτων υπολογιστών, κάνοντας στροφή από την πρότερη χρήση του λογισμικού UltraVNC.

Η “Awaken Likho”, γνωστή και ως Core Werewolf, είναι μια ομάδα APT που δραστηριοποιείται από το 2021 τουλάχιστον, αλλά παρουσίασε σημαντική αύξηση δραστηριότητας μετά το ξέσπασμα της σύρραξης ανάμεσα στη Ρωσία και την Ουκρανία. Κατά τη διεξαγωγή της έρευνας της Kaspersky σχετικά με τις δραστηριότητες της ομάδας, οι ειδικοί αποκάλυψαν μια νέα κακόβουλη εκστρατεία που ξεκίνησε τον Ιούνιο του 2024 και συνεχίστηκε τουλάχιστον μέχρι τον Αύγουστο. Αυτή η εκστρατεία με στόχο την κυβερνοκατασκοπεία και την ανάληψη ελέγχου συσκευών στοχοποιούσε συγκεκριμένα κυβερνητικούς και βιομηχανικούς οργανισμούς στη Ρωσία και τους συνεργάτες τους.

Η ανάλυση της Kaspersky αποκαλύπτει ότι η πρόσφατη εκστρατεία έφερε αλλαγές στα εργαλεία και τις τεχνικές της ομάδας. Οι επιτιθέμενοι χρησιμοποίησαν το MeshCentral, μια διαδικτυακή πλατφόρμα ανοιχτού κώδικα για απομακρυσμένη πρόσβαση στην επιφάνεια εργασίας, διαχείριση συσκευών, μεταφορά αρχείων και παρακολούθηση σε πραγματικό χρόνο. Για να δημιουργηθεί μια βάση μέσα στο δίκτυο, μεταφορτώθηκε στις συσκευές των θυμάτων ένα εμφύτευμα από κακόβουλη διεύθυνση URL, όπως φαίνεται μέσω στοχευμένων μηνυμάτων phishing. Σε προηγούμενες παρόμοιες εκστρατείες, οι επιτιθέμενοι είχαν χρησιμοποιήσει μηχανές αναζήτησης για να συλλέξουν αναλυτικές πληροφορίες σχετικά με τα θύματα και να συντάξουν email που φαίνονταν νόμιμα. Αυτά τα email περιλάμβαναν αρχεία αυτόματης εξαγωγής (SFX) και κακόβουλους συνδέσμους, οι οποίοι, μόλις άνοιγαν, εγκαθιστούσαν έναν ιό σχεδιασμένο για κυβερνοκατασκοπεία.

Χάρη στις τακτικές τους, οι επιτιθέμενοι μπορούσαν να αποκτήσουν πρόσβαση σε ευαίσθητα κυβερνητικά και βιομηχανικά δεδομένα, συμπεριλαμβανομένων εμπιστευτικών πληροφοριών, σχεδίων, επικοινωνιών και λεπτομερειών σχετικά με δομικές λειτουργίες. Επιπλέον, μπορούσαν να αποκτήσουν πλήρη έλεγχο των συσκευών των θυμάτων, επιτρέποντάς τους να διαταράξουν εργασιακές λειτουργίες, να χειραγωγήσουν συστήματα ή να ξεκινήσουν περαιτέρω επιθέσεις εντός των παραβιασμένων δικτύων.

Με βάση τις τακτικές, τεχνικές και διαδικασίες (TTP) που χρησιμοποιούνται, καθώς και τις πληροφορίες σχετικά με τα θύματα, οι ειδικοί της Kaspersky αποδίδουν αυτή την εκστρατεία στην ομάδα APT Awaken Likho με μεγάλη βεβαιότητα.

«Η γεωπολιτική παραμένει βασικός παράγοντας των επιθέσεων APT, οι οποίες εξελίσσονται ραγδαία καθώς οι επιτιθέμενοι βελτιώνουν τις τεχνικές τους για να παραμείνουν απαρατήρητοι, μεγιστοποιώντας παράλληλα τη ζημιά. Οι επιθέσεις αυτές επισημαίνουν για άλλη μια φορά την κρίσιμη ανάγκη για ολοκληρωμένα μέτρα ασφαλείας, ιδίως στον κυβερνητικό και βιομηχανικό τομέα, καθώς αποτελούν πρωταρχικούς στόχους για τους επιτήδειους. Οι προληπτικές στρατηγικές άμυνας και η γνωστοποίηση απειλών σε πραγματικό χρόνο είναι απαραίτητες για την αντιμετώπιση αυτών των ολοένα και πιο εξελιγμένων απειλών», σχολιάζει ο Alexey Shulmin, ειδικός ασφάλειας στην Kaspersky.