AnvilEcho Infostealer taikosi į aukšto lygio figūras
Table of Contents
Kas yra AnvilEcho Infostealer?
AnvilEcho Infostealer yra kenkėjiškų programų programa, kuri žymi naują kibernetinio šnipinėjimo operacijų skyrių, priskiriamą Irano valstybės remiamiems grėsmės veikėjams. Šis įrankis, pateikiamas per sudėtingą socialinės inžinerijos kampaniją, skirtas slaptai rinkti žvalgybos informaciją iš tikslinių asmenų, pirmiausia tų, kurie yra politiškai ar socialiai reikšmingi. Ši kibernetinė grėsmė reiškia reikšmingą kibernetinių nusikaltėlių ir valstybės veikėjų gebėjimų prasiskverbti ir manipuliuoti savo taikiniais, nepaliekant jokių pėdsakų.
Kaip veikia AnvilEcho?
„AnvilEcho Infostealer“ yra didesnio įrankių rinkinio, vadinamo „BlackSmith“, dalis, įdiegta per kruopščiai parengtas sukčiavimo kampanijas. Šios kampanijos dažnai prasideda nekaltai atrodančiu el. laišku iš, atrodo, teisėto šaltinio. Taikinys pamažu įtraukiamas į pokalbį, skirtą pasitikėjimui stiprinti, todėl jie atveria kenkėjiškas nuorodas ar priedus.
Kai taikinys paima masalą, AnvilEcho tyliai įdiegiamas jų sistemoje. Kenkėjiška programa, sukurta naudojant PowerShell, veikia su įvairiomis funkcijomis, leidžiančiomis atlikti išsamią užkrėstos sistemos žvalgybą. Jis gali daryti ekrano kopijas, atsisiųsti ir vykdyti failus iš nuotolinių serverių ir, svarbiausia, įkelti slaptus duomenis į komandų ir valdymo (C2) serverius. Duomenų išfiltravimas paprastai atliekamas per FTP arba per debesies saugojimo paslaugas, pvz., „Dropbox“, todėl aukai sunku pastebėti bet kokią neįprastą veiklą.
„AnvilEcho Infostealer“ tikslai
Pagrindinis AnvilEcho tikslas yra žvalgybos rinkimas. Skirtingai nuo išpirkos reikalaujančios programos, kuri siekia tiesioginės finansinės naudos, „AnvilEcho“ yra skirta vertingos informacijos rinkimui laikui bėgant. Kenkėjiškos programos kūrėjai sutvarkė, kad ji liktų paslėpta taikinio tinkle, lėtai išsiurbdama duomenis, kurie gali būti naudojami įvairiems tikslams, pradedant šnipinėjimu ir baigiant dezinformacijos kampanijomis.
Pagrindiniai šio informacijos vagystės taikiniai dažnai yra asmenys, turintys neskelbtinos informacijos arba turintys įtakos, pavyzdžiui, politikai, žmogaus teisių gynėjai, disidentai ir akademikai. Šie taikiniai pasirinkti dėl to, kad jų turima informacija gali būti panaudota siekiant įgyvendinti AnvilEcho grėsmės veikėjų politinius ir karinius tikslus. Manoma, kad šiuo atveju kibernetinio šnipinėjimo kampanija remia Irano Islamo revoliucijos gvardijos korpuso (IRGC), galingos karinės ir politinės jėgos šalyje, žvalgybos prioritetus.
Platesnis kontekstas: TA453 ir jo jungtys
AnvilEcho yra susietas su platesne kibernetinio šnipinėjimo grupe, kurią saugumo tyrinėtojai seka kaip TA453. Ši grupė, žinoma tokiais pavadinimais kaip APT42, Charming Kitten ir Mint Sandstorm, garsėja nuolatinėmis ir prisitaikančiomis sukčiavimo kampanijomis. Šios kampanijos dažnai apsimeta teisėtais subjektais, įskaitant žurnalistus ir tyrėjus, siekiant privilioti savo aukas į klaidingą saugumo jausmą.
Grupės taktika laikui bėgant buvo tobulinama, kiekviena kampanija rodo vis sudėtingesnį lygį. „AnvilEcho“ atveju TA453 naudojo kelių etapų sukčiavimo metodą. Pradinė sąveika atrodė nekenksminga ir skirta sukurti ryšį. Tik po to, kai buvo sukurtas pasitikėjimas, užpuolikai pradėjo teikti kenksmingą naudingą apkrovą, dažnai naudodamiesi iš pažiūros teisėtomis failų dalijimosi paslaugomis, tokiomis kaip „Google“ diskas.
Kodėl AnvilEcho svarbu
AnvilEcho kelia didelę grėsmę ne tik dėl savo techninių galimybių, bet ir dėl tikslumo, kuriuo jis yra įdiegtas. Tai, kad ji skirta tam tikriems, aukšto lygio asmenims, o ne platina tinklą, rodo, kad jos ieškoma informacija yra labai strateginė. Dėl to „AnvilEcho“ yra galingas įrankis valstybės remiamiems veikėjams, norintiems plėtoti savo geopolitinius interesus kibernetinėmis priemonėmis.
AnvilEcho atsiradimas taip pat išryškina besikeičiantį kibernetinių grėsmių pobūdį. Kenkėjiškos programos šiandien yra ne tik sutrikdymas ar finansiniai nuostoliai; vis labiau kalbama apie ilgalaikę strateginę naudą, susijusią su intelektinės nuosavybės vagyste, manipuliavimu viešąja nuomone ar žvalgybos duomenų rinkimu, kuris gali būti naudingas būsimoms operacijoms.
Išvada: budrumo svarba
Kadangi kibernetinės grėsmės, tokios kaip AnvilEcho, tampa vis sudėtingesnės ir tikslesnės, negalima pervertinti budrumo svarbos. Šių grėsmių prigimties supratimas yra pirmasis žingsnis gintis nuo jų. Nors „AnvilEcho“ gali atrodyti kaip tik dar viena kenkėjiška programa, jos pasekmės yra toli siekiančios, ypač tiems, kurie užima jautrias ar įtakingas pareigas.
Pasaulyje, kuriame skaitmeninės ir fizinės sritys vis labiau susipynusios, informuoti ir būti atsargiems internete yra taip pat labai svarbu, kaip ir bet kuris kitas asmeninio ar organizacinio saugumo aspektas. „AnvilEcho“ yra ryškus priminimas apie tai, kiek valstybės remiami veikėjai turės nuveikti siekdami savo tikslų, ir būtinybę nuolat būti budriam susidūrus su tokiomis nuolatinėmis grėsmėmis.
