Το SideWinder APT είναι μια αυξανόμενη απειλή στον κυβερνοχώρο που στοχεύει σε κρίσιμους τομείς

Η SideWinder APT, μια εξαιρετικά εξελιγμένη ομάδα κατασκοπείας στον κυβερνοχώρο, στοχεύει ενεργά τους τομείς της ναυτιλίας, της πυρηνικής ενέργειας και της πληροφορικής στη Νότια και Νοτιοανατολική Ασία, τη Μέση Ανατολή και την Αφρική. Αρχικά γνωστός για επιθέσεις σε κυβερνητικούς φορείς, ο όμιλος έχει τώρα διευρύνει το πεδίο εφαρμογής του για να συμπεριλάβει ιδιωτικές εταιρείες και υποδομές ζωτικής σημασίας. Πρόσφατες αναφορές δείχνουν ότι το SideWinder είναι υπεύθυνο για πολλαπλές επιθέσεις στον κυβερνοχώρο σε χώρες όπως το Μπαγκλαντές, η Καμπότζη, η Αίγυπτος και τα Ηνωμένα Αραβικά Εμιράτα, μεταξύ άλλων.

Πώς λειτουργεί το SideWinder APT

Η ομάδα βασίζεται κυρίως σε τεχνικές spear-phishing για την παράδοση κακόβουλων ωφέλιμων φορτίων. Οι εισβολείς στέλνουν προσεκτικά κατασκευασμένα email που περιέχουν οπλισμένα έγγραφα του Microsoft Office που εκμεταλλεύονται γνωστά τρωτά σημεία, όπως το CVE-2017-11882, ένα παλιό ελάττωμα του Microsoft Office που επιτρέπει την εκτέλεση κώδικα χωρίς αλληλεπίδραση με τον χρήστη. Μόλις εκτελεστούν, αυτά τα έγγραφα αναπτύσσουν κακόβουλο λογισμικό ικανό να κλέβει ευαίσθητα δεδομένα, να παρακολουθεί τη δραστηριότητα του συστήματος και να διατηρεί σταθερή πρόσβαση σε παραβιασμένα δίκτυα.

Το SideWinder χρησιμοποιεί επίσης ένα αρθρωτό πλαίσιο κακόβουλου λογισμικού που ονομάζεται StealerBot, το οποίο ενισχύει την ικανότητά του να κλέβει διαπιστευτήρια, να εκτελεί εντολές από απόσταση και να εξάγει πολύτιμες πληροφορίες. Συγκεκριμένα, η ομάδα είναι γνωστή για την ταχεία τροποποίηση των μεθόδων επίθεσης για να αποφύγει τον εντοπισμό, αλλάζοντας μερικές φορές τις υπογραφές κακόβουλου λογισμικού εντός ωρών από την ανακάλυψη.

Γιατί το SideWinder APT είναι επικίνδυνο

Ο πρωταρχικός στόχος του SideWinder APT φαίνεται να είναι η κυβερνοκατασκοπεία. Ο όμιλος έχει στοχεύσει πυρηνικούς σταθμούς, ενεργειακές εταιρείες, παρόχους τηλεπικοινωνιών, ακόμη και τη βιομηχανία φιλοξενίας. Η δυνατότητα διείσδυσης σε αυτούς τους τομείς ενέχει σοβαρό κίνδυνο, καθώς οι εισβολείς θα μπορούσαν να αποκτήσουν πρόσβαση σε διαβαθμισμένες πληροφορίες, να διακόψουν τις αλυσίδες εφοδιασμού ή να χειραγωγήσουν κρίσιμα συστήματα.

Οι προηγμένες τακτικές, η συνεχής εξέλιξη και η στρατηγική στόχευση του ομίλου υποδηλώνουν ότι είναι καλά χρηματοδοτούμενος και επιχορηγούμενος από το κράτος. Με τις επιθέσεις να καλύπτουν πολλές βιομηχανίες και γεωγραφικές περιοχές, το SideWinder παραμένει ένα σοβαρό πρόβλημα για την ασφάλεια στον κυβερνοχώρο.

Τρόπος προστασίας από το SideWinder APT

Οργανισμοί και άτομα μπορούν να κάνουν πολλά βήματα για να αμυνθούν από επιθέσεις SideWinder APT:

• Ενημερώστε τακτικά το λογισμικό – Βεβαιωθείτε ότι όλα τα λειτουργικά συστήματα και οι εφαρμογές έχουν επιδιορθωθεί έναντι γνωστών ευπαθειών, ιδιαίτερα εκείνων που εκμεταλλεύεται συνήθως το SideWinder.
• Χρησιμοποιήστε ένα πρόγραμμα κατά του κακόβουλου λογισμικού – Μια ισχυρή λύση ασφάλειας στον κυβερνοχώρο μπορεί να εντοπίσει και να αποκλείσει κακόβουλα έγγραφα, απόπειρες ηλεκτρονικού ψαρέματος (phishing) και ωφέλιμα φορτία κακόβουλου λογισμικού προτού προκαλέσουν βλάβη.
• Ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) – Η εφαρμογή MFA μπορεί να αποτρέψει τη μη εξουσιοδοτημένη πρόσβαση, ακόμη και αν παραβιάζονται τα διαπιστευτήρια.
• Εκπαίδευση των εργαζομένων σχετικά με τους κινδύνους ηλεκτρονικού "ψαρέματος" - Οι οργανισμοί θα πρέπει να εκπαιδεύουν το προσωπικό να αναγνωρίζει και να αναφέρει ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου για την πρόληψη μολύνσεων από κακόβουλο λογισμικό.
• Παρακολούθηση επισκεψιμότητας δικτύου – Η ανίχνευση ασυνήθιστης δραστηριότητας, όπως μη εξουσιοδοτημένες μεταφορές δεδομένων ή επίμονες προσπάθειες πρόσβασης, μπορεί να βοηθήσει στον εντοπισμό μιας πιθανής εισβολής.

Το SideWinder APT συνεχίζει να εξελίσσεται, καθιστώντας απαραίτητο για τους οργανισμούς να παραμείνουν ενεργοί στα μέτρα κυβερνοασφάλειας. Όσο αυτή η ομάδα παραμένει ενεργή, οι επιχειρήσεις και οι κυβερνητικές υπηρεσίες πρέπει να παραμείνουν σε επαγρύπνηση έναντι της αυξανόμενης απειλής της κυβερνοκατασκοπείας.