Η κυβερνοασφάλεια είναι κάτι περισσότερο από μια απλή ανησυχία για την τεχνολογική ασφάλεια. Είναι η βασική αμυντική γραμμή της επιχείρησής σας, προστατεύοντας τα δεδομένα, τους πελάτες και τη φήμη σας. Σε αυτό το άρθρο, θα δούμε τη σημασία της κυβερνοασφάλειας στις επιχειρήσεις και πώς μπορείτε να την ενσωματώσετε στην καθημερινή λειτουργία σας.
Κυβερνοασφάλεια: Τι είναι και γιατί είναι σημαντική;
Η κυβερνοασφάλεια αναφέρεται στην προστασία των ψηφιακών συστημάτων, δεδομένων και δικτύων από κυβερνοαπειλές και επιθέσεις. Αυτές οι απειλές μπορούν να περιλαμβάνουν malware, phishing, επιθέσεις ransomware και πολλά άλλα. Γιατί όμως είναι τόσο σημαντική για κάθε επιχείρηση;
1. Προστασία των Δεδομένων: Οι επιχειρήσεις συχνά διαθέτουν ευαίσθητα δεδομένα πελατών, εργαζομένων και οικονομικά στοιχεία. Η διαρροή ή η κλοπή αυτών των δεδομένων μπορεί να οδηγήσει σε σοβαρές συνέπειες, συμπεριλαμβανομένης της απώλειας φήμης και των νομικών επιπτώσεων.
2. Προστασία της Φήμης: Η καλή φήμη είναι ανεκτίμητη. Ένας κακόβουλός «χάκερ» μπορεί να καταστρέψει τη φήμη μιας επιχείρησης, διαρρέοντας προσωπικά δεδομένα ή προκαλώντας αναστάτωση στις υπηρεσίες της.
3. Προστασία από Νομικές Επιπτώσεις: Η μη συμμόρφωση με τους νόμους περί προστασίας των δεδομένων και της κυβερνοασφάλειας μπορεί να οδηγήσει σε σοβαρές νομικές συνέπειες.
Πώς να Ενσωματώσετε την Κυβερνοασφάλεια:
Η κυβερνοασφάλεια δεν είναι μια μονοδιάστατη λύση. Πρέπει να ενσωματωθεί σε όλες τις πτυχές της επιχείρησης. Αναλυτικά:
1. Κατάρτιση και Ευαισθητοποίηση: Εκπαιδεύστε το προσωπικό σας για τις κυβερνοαπειλές και τις βέλτιστες πρακτικές ασφάλειας.
2. Τεχνολογικά Εργαλεία: Χρησιμοποιήστε ασφαλή λογισμικά και υλικά, όπως firewalls, antivirus, IDS/IPS, και SIEM συστήματα, για να προστατεύσετε τα συστήματά σας από επιθέσεις.
3. Ανάλυση και Εντοπισμός Κινδύνων: Εφαρμόστε μηχανισμούς ανίχνευσης και αντιμετώπισης κυβερνοαπειλών για να εντοπίσετε εγκαίρως ανωμαλίες στο δίκτυό σας.
4. Πολιτικές και Διαδικασίες: Τηρήστε πολιτικές και διαδικασίες κυβερνοασφάλειας που καθορίζουν πώς πρέπει να διαχειρίζεστε τα δεδομένα και τις πιθανές απειλές.
5. Συνεργασία με Εξωτερικούς Εμπειρογνώμονες: Εξετάστε τη συνεργασία με εξωτερικούς εμπειρογνώμονες για τον έλεγχο κυβερνοασφάλειας και τον εντοπισμό πιθανών ευπάθειών.
6. Ανάκτηση Δεδομένων και Επιχειρησιακή Συνέχεια: Αναπτύξτε σχέδια ανάκτησης δεδομένων και συνέχειας επιχειρησιακής δραστηριότητας, ώστε να αντιμετωπίσετε τις επιθέσεις.
7. Συμμόρφωση με τους Νόμους: Διασφαλίστε ότι η επιχείρησή σας συμμορφώνεται με τους νόμους περί προστασίας των δεδομένων και της κυβερνοασφάλειας.
Η κυβερνοασφάλεια δεν είναι πλέον πολυτέλεια, αλλά αναγκαίο μέτρο για κάθε επιχείρηση. Η προστασία των δεδομένων, της φήμης και της νομικής συμμόρφωσης πρέπει να βρίσκεται στην κορυφή της λίστας προτεραιοτήτων σας. Εφαρμόζοντας καλές πρακτικές κυβερνοασφάλειας, μπορείτε να προστατεύσετε την επιχείρησή σας και να διασφαλίσετε την ασφαλή της λειτουργία.
Η ψεύτικη εφαρμογή συναγερμού πυραύλων “RedAlert” για το Ισραήλ εγκαθιστά κατασκοπευτικό λογισμικό Android
Οι Ισραηλινοί χρήστες Android έχουν στοχοποιηθεί από μια κακόβουλη έκδοση της εφαρμογής “RedAlert – Rocket Alerts”, η οποία, ενώ προσφέρει την υποσχόμενη λειτουργικότητα, λειτουργεί ως λογισμικό κατασκοπείας στο παρασκήνιο. Το RedAlert – Rocket Alerts είναι μια νόμιμη εφαρμογή ανοιχτού κώδικα που χρησιμοποιείται από τους Ισραηλινούς πολίτες για να λαμβάνουν ειδοποιήσεις για εισερχόμενες ρουκέτες που στοχεύουν τη χώρα. Η εφαρμογή είναι ιδιαίτερα δημοφιλής, με πάνω από ένα εκατομμύριο λήψεις στο Google Play.
Από τότε που οι τρομοκράτες της Χαμάς εξαπέλυσαν την επίθεσή τους στο Νότιο Ισραήλ την περασμένη εβδομάδα, με χιλιάδες ρουκέτες, το ενδιαφέρον για την εφαρμογή έχει εκραγεί, καθώς οι άνθρωποι αναζητούσαν έγκαιρες προειδοποιήσεις για επερχόμενες αεροπορικές επιδρομές στην περιοχή τους. Σύμφωνα με την Cloudflare, χάκερ άγνωστης αιτιολογίας και προέλευσης εκμεταλλεύονται το αυξημένο ενδιαφέρον για την εφαρμογή και τον φόβο των επιθέσεων για να διανείμουν μια ψεύτικη έκδοση που εγκαθιστά λογισμικό κατασκοπείας.
Αυτή η κακόβουλη έκδοση διανέμεται από τον ιστότοπο “redalerts[.]me”, ο οποίος δημιουργήθηκε στις 12 Οκτωβρίου 2023 και περιλαμβάνει δύο κουμπιά για τη λήψη της εφαρμογής για τις πλατφόρμες iOS και Android. Η λήψη για το iOS ανακατευθύνει τον χρήστη στη σελίδα του νόμιμου έργου στο App Store της Apple, αλλά το κουμπί για το Android κατεβάζει απευθείας ένα αρχείο APK για να εγκατασταθεί στη συσκευή.
Ειδοποίηση Spyware
Το APK που κατεβάσατε χρησιμοποιεί τον νόμιμο κώδικα της πραγματικής εφαρμογής RedAlert, έτσι ώστε να περιέχει όλες τις κανονικές λειτουργίες και να εμφανίζεται ως ένα νόμιμο εργαλείο συναγερμού πυραύλων.
Ωστόσο, η Cloudflare διαπίστωσε ότι η εφαρμογή ζητά πρόσθετες άδειες από τα θύματα, συμπεριλαμβανομένης της πρόσβασης στις επαφές, τους αριθμούς, το περιεχόμενο SMS του χρήστη, τη λίστα του εγκατεστημένου λογισμικού, τα αρχεία καταγραφής κλήσεων, το IMEI του τηλεφώνου, τους συνδεδεμένους λογαριασμούς ηλεκτρονικού ταχυδρομείου και εφαρμογών και πολλά άλλα.
Κατά την εκκίνηση, η εφαρμογή ξεκινά μια υπηρεσία παρασκηνίου που κάνει κατάχρηση αυτών των δικαιωμάτων για να συλλέξει δεδομένα, να τα κρυπτογραφήσει με AES σε λειτουργία CBC και να τα φορτώσει σε μια σκληρά κωδικοποιημένη διεύθυνση IP.
Η εφαρμογή διαθέτει επίσης μηχανισμούς κατά της αποσφαλμάτωσης, κατά της εξομοίωσης και κατά των δοκιμών που την προστατεύουν από τους ερευνητές και τα εργαλεία αναθεώρησης κώδικα.
Συμβουλές ασφαλείας RedAlert
Ο ψεύτικος ιστότοπος είναι εκτός λειτουργίας τη στιγμή που γράφονται αυτές οι γραμμές. Ωστόσο, οι απειλητικοί φορείς πιθανότατα θα στραφούν σε νέο τομέα μετά την αποκάλυψη της επιχείρησής τους.
Ένας απλός τρόπος για να διακρίνετε μεταξύ της πραγματικής και της παγιδευμένης έκδοσης είναι να ελέγξετε τα δικαιώματα που ζητά η εφαρμογή κατά την εγκατάσταση ή στα οποία έχει πρόσβαση σε περίπτωση που είναι ήδη εγκατεστημένη στη συσκευή σας.
Για να το ελέγξετε αυτό, πατήστε παρατεταμένα το εικονίδιο της εφαρμογής, επιλέξτε “Πληροφορίες εφαρμογής” και πατήστε “Δικαιώματα”.
Επίσης, έχουν αναφερθεί περιπτώσεις αεροπειρατείας στην πραγματική εφαρμογή RedAlert, με χακτιβιστές να εκμεταλλεύονται ελαττώματα API για να προωθούν ψεύτικες ειδοποιήσεις στους χρήστες. Για να ελαχιστοποιήσετε την πιθανότητα τέτοιων περιστατικών, βεβαιωθείτε ότι χρησιμοποιείτε την τελευταία έκδοση της εφαρμογής που περιλαμβάνει όλες τις διαθέσιμες διορθώσεις ασφαλείας.
Οι ToddyCat χάκερς στοχεύσουν τις ασιατικές τηλεπικοινωνίες
Μια πρόσφατα ανακαλυφθείσα καμπάνια με την ονομασία “Stayin’ Alive” στοχεύει κυβερνητικούς οργανισμούς και παρόχους τηλεπικοινωνιακών υπηρεσιών σε ολόκληρη την Ασία από το 2021, χρησιμοποιώντας μια μεγάλη ποικιλία κακόβουλου λογισμικού “μίας χρήσης” για να αποφύγει την ανίχνευση.
Οι περισσότεροι από τους στόχους της εκστρατείας που είδε η εταιρεία κυβερνοασφάλειας Check Point εδρεύουν στο Καζακστάν, το Ουζμπεκιστάν, το Πακιστάν και το Βιετνάμ, ενώ η εκστρατεία βρίσκεται ακόμη σε εξέλιξη.
Οι επιθέσεις φαίνεται να προέρχονται από τον κινεζικό παράγοντα κατασκοπείας που είναι γνωστός ως “ToddyCat”, ο οποίος βασίζεται σε μηνύματα spear-phishing που μεταφέρουν κακόβουλα συνημμένα αρχεία για να φορτώσει μια ποικιλία φορτωτών κακόβουλου λογισμικού και backdoors.
Οι ερευνητές εξηγούν ότι οι απειλητικοί φορείς χρησιμοποιούν πολλούς διαφορετικούς τύπους προσαρμοσμένων εργαλείων, τα οποία πιστεύουν ότι είναι μιας χρήσης για να αποφύγουν την ανίχνευση και να αποτρέψουν τη σύνδεση των επιθέσεων μεταξύ τους.
“Το ευρύ σύνολο εργαλείων που περιγράφονται στην παρούσα έκθεση είναι κατά παραγγελία και πιθανότατα εύκολα αναλώσιμα. Ως αποτέλεσμα, δεν παρουσιάζουν σαφείς επικαλύψεις κώδικα με οποιοδήποτε γνωστό σύνολο εργαλείων, ούτε καν μεταξύ τους”, εξηγεί η Check Point.
Η επίθεση ξεκινά με ένα email
Η επίθεση ξεκινά με ένα spear-phishing email που έχει σχεδιαστεί για να στοχεύει συγκεκριμένα άτομα σε οργανισμούς-κλειδιά, προτρέποντάς τα να ανοίξουν το συνημμένο αρχείο ZIP.
Το αρχείο περιέχει ένα ψηφιακά υπογεγραμμένο εκτελέσιμο αρχείο με όνομα που ταιριάζει με το πλαίσιο του email και ένα κακόβουλο DLL που εκμεταλλεύεται μια ευπάθεια (CVE-2022-23748) στο λογισμικό Dante Discovery της Audinate για να φορτώσει το κακόβουλο λογισμικό “CurKeep” στο σύστημα.
Το CurKeep είναι μια κερκόπορτα 10kb που εγκαθιδρύει επιμονή στη συσκευή που έχει παραβιαστεί, στέλνει πληροφορίες συστήματος στον διακομιστή εντολών και ελέγχου (C2) και στη συνέχεια περιμένει εντολές.
Το backdoor μπορεί να εξαγάγει μια λίστα καταλόγων για τα αρχεία προγραμμάτων του θύματος, υποδεικνύοντας ποιο λογισμικό είναι εγκατεστημένο στον υπολογιστή, να εκτελεί εντολές και να στέλνει την έξοδο στον διακομιστή C2 και να χειρίζεται εργασίες που βασίζονται σε αρχεία, σύμφωνα με τις οδηγίες των χειριστών του.
Πέρα από το CurKeep, η εκστρατεία χρησιμοποιεί και άλλα εργαλεία, κυρίως φορτωτές, που εκτελούνται κυρίως μέσω παρόμοιων μεθόδων παράλληλης φόρτωσης DLL.
Στα αξιοσημείωτα περιλαμβάνονται οι φορτωτές CurLu, CurCore και CurLog, ο καθένας με μοναδικές λειτουργίες και μηχανισμούς μόλυνσης.
Το CurCore είναι το πιο ενδιαφέρον από τα δευτερεύοντα ωφέλιμα φορτία, καθώς μπορεί να δημιουργήσει αρχεία και να συμπληρώσει τα περιεχόμενά τους με αυθαίρετα δεδομένα, να εκτελέσει απομακρυσμένες εντολές ή να διαβάσει ένα αρχείο και να επιστρέψει τα δεδομένα του σε κωδικοποιημένη μορφή base64.
Ένα άλλο αξιοσημείωτο backdoor που ξεχωρίζει από τα υπόλοιπα είναι το ‘StylerServ’, το οποίο λειτουργεί ως παθητικός ακροατής που παρακολουθεί την κυκλοφορία σε πέντε θύρες (60810 έως 60814) για ένα συγκεκριμένο αρχείο ρυθμίσεων με κρυπτογράφηση XOR (‘stylers.bin’).
Η έκθεση δεν προσδιορίζει την ακριβή λειτουργία ή τον σκοπό του StylerServ ή του stylers.bin, αλλά είναι πιθανό να αποτελεί μέρος ενός κρυφού μηχανισμού εξυπηρέτησης ρυθμίσεων για άλλα στοιχεία κακόβουλου λογισμικού.
Η Check Point αναφέρει ότι το “Stayin’ Alive” χρησιμοποιεί διάφορα δείγματα και παραλλαγές αυτών των φορτωτών και ωφέλιμων φορτίων, συχνά προσαρμοσμένα σε συγκεκριμένους περιφερειακούς στόχους (γλώσσα, ονόματα αρχείων, θέματα).
Η εταιρεία ασφαλείας αναφέρει ότι η πρόσφατα εντοπισμένη συστάδα είναι πιθανότατα τμήμα μιας ευρύτερης εκστρατείας που περιλαμβάνει περισσότερα μη ανακαλυφθέντα εργαλεία και μεθόδους επίθεσης.
Κρίνοντας από τη μεγάλη ποικιλία διαφορετικών εργαλείων που παρατηρήθηκαν στις επιθέσεις και το επίπεδο προσαρμογής τους, φαίνεται ότι πρόκειται για εργαλεία μίας χρήσης.
Παρά τις διαφορές στον κώδικα αυτών των εργαλείων, όλα συνδέονται με την ίδια υποδομή, την οποία η Kaspersky συνέδεσε προηγουμένως με την ToddyCat, μια ομάδα κινεζικών κατασκόπων στον κυβερνοχώρο.
Ενημέρωση 10/12 – Λίγο μετά τη δημοσίευση αυτής της έκθεσης, η Kaspersky δημοσίευσε μια ενημέρωση σχετικά με την παρακολούθηση της APT ToddyCat, επισημαίνοντας νέες μεθόδους επίθεσης και ωφέλιμα φορτία που ανακάλυψαν πρόσφατα οι αναλυτές της.
Κατά τη διάρκεια του περασμένου έτους, η Kaspersky παρατήρησε μια παράλληλη συστάδα δραστηριότητας από τον ίδιο φορέα απειλής, διαφορετική από αυτή που είδε η Check Point, με δύο παραλλαγές επιθέσεων που χρησιμοποιούν νόμιμα εκτελέσιμα αρχεία VLC για να φορτώσουν κακόβουλο λογισμικό χρησιμοποιώντας την τεχνική DLL sideloading.
Ένα αξιοσημείωτο κακόβουλο λογισμικό που αναπτύχθηκε σε αυτές τις επιθέσεις είναι το “Ninja Agent”, ο οποίος διαθέτει διαχείριση αρχείων, αντίστροφο κέλυφος, διαχείριση διεργασιών και άλλα.
Άλλα εργαλεία που χρησιμοποίησε η ToddyCat σε αυτές τις επιθέσεις περιλαμβάνουν το LoFiSe (ανιχνευτής και κλέφτης αρχείων), το Cobalt Strike (σουίτα δοκιμών διείσδυσης), το DropBox Uploader και ένα παθητικό UDP backdoor.
Το Metasploit: Ένα Ισχυρό Εργαλείο για Την Κυβερνοασφάλεια
Το Metasploit είναι ένα από τα πιο ισχυρά και δημοφιλή εργαλεία στον κόσμο της κυβερνοασφάλειας. Πρόκειται για ένα πλαίσιο ασφαλείας που χρησιμοποιείται για τη δοκιμή ασφάλειας συστημάτων και εφαρμογών. Αναπτύχθηκε αρχικά από την Rapid7 και τώρα είναι διαθέσιμο ως ανοικτού κώδικα λογισμικό.
Το Metasploit επιτρέπει στους ερευνητές ασφάλειας, τους επαγγελματίες κυβερνοασφάλειας και ακόμη και τους επιτιθέμενους να εκμεταλλευτούν ασφαλιστικές ελλείψεις σε συστήματα και εφαρμογές. Με τη χρήση του Metasploit, μπορείτε να ελέγξετε την ασφάλεια του συστήματός σας, να εντοπίσετε τυχόν ευπάθειες και να αναπτύξετε εκμεταλλευτικές επιθέσεις για να τις επιλύσετε προτού κακόβουλοι επιτιθέμενοι τις εκμεταλλευτούν.
Η χρήση του Metasploit περιλαμβάνει τα ακόλουθα βήματα:
Επιλογή Στόχου: Αρχικά, πρέπει να επιλέξετε τον στόχο που θέλετε να δοκιμάσετε ή να ελέγξετε την ασφάλειά του. Αυτό μπορεί να είναι ένας διακομιστής, μια εφαρμογή ή ακόμη και ένας υπολογιστής.
Σάρωση: Το Metasploit μπορεί να εκτελέσει σάρωση του στόχου για ευπάθειες και ανοιχτές πόρτες. Αυτό βοηθάει στην εντοπισμό πιθανών ευκαιριών για επίθεση.
Επίθεση: Με βάση τις ευπάθειες που ανακαλύψατε, μπορείτε να χρησιμοποιήσετε το Metasploit για να εκτελέσετε επιθέσεις. Αυτές μπορεί να είναι εκμεταλλευτικές επιθέσεις, όπως εισβολές σε αυτό το σύστημα ή την εφαρμογή.
Αξιολόγηση: Μετά την επίθεση, αξιολογείτε την αποτελεσματικότητα της και τυχόν πληροφορίες που αποκτήσατε.
Αναφορά: Το Metasploit παρέχει εκτενείς αναφορές και καταγραφές των επιθέσεών σας, κάτι που είναι σημαντικό για την κυβερνοασφάλεια και την επίλυση τυχόν ευπαθειών.
Το Metasploit είναι ένα εξαιρετικά χρήσιμο εργαλείο για τη δοκιμή ασφάλειας και την προστασία των συστημάτων από κυβερνοεπιθέσεις. Ωστόσο, πρέπει να χρησιμοποιείται με προσοχή, καθώς η ανοικτή χρήση του χωρίς την ανάλογη εξουσιοδότηση είναι παράνομη.
Για να χρησιμοποιήσετε το Metasploit με ασφάλεια και νοηματική ευθύνη, είναι σημαντικό να έχετε την άδεια και την εξουσιοδότηση για να δοκιμάσετε την ασφάλεια των συστημάτων ή των εφαρμογών που ανήκουν σε εσάς ή σε εκείνους που έχετε τη συγκατάθεσή τους. Πάντα πρέπει να τηρείτε τους νόμους περί κυβερνοασφάλειας και ιδιωτικότητας.
Εν κατακλείδι, το Metasploit είναι ένα εξαιρετικά ισχυρό εργαλείο για την ανίχνευση ευπαθειών και τη δοκιμή ασφάλειας. Ωστόσο, πρέπει να χρησιμοποιείται με προσοχή, ευθύνη και σεβασμό προς τους νόμους και την ιδιωτικότητα των άλλων. Με την κατάλληλη εκπαίδευση και τον ηθικό προσανατολισμό, μπορεί να συμβάλει στην ενίσχυση της κυβερνοασφάλειας και την προστασία από δυνητικούς κινδύνους στον ψηφιακό κόσμο.