Μια έκθεση που δημοσιεύθηκε την Τρίτη από την εταιρεία ασφαλείας Cylance περιγράφει λεπτομερώς τις δραστηριότητες μιας εγκληματικής ομάδας που δραστηριοποιείται στον κυβερνοχώρο τουλάχιστον από το 2010. Οι επιτιθέμενοι έχουν θέσει στο στόχαστρο διάφορες οργανώσεις στην Ιαπωνία, τη Νότια Κορέα, τις Ηνωμένες Πολιτείες, την Ευρώπη, καθώς και σε πολλές χώρες της Νοτιοανατολικής Ασίας.
Ο παράγοντας απειλής, που οι ειδικοί πιστεύουν ότι πρόκειται για μια καλά χρηματοδοτούμενη και άριστα οργανωμένη ομάδα που συνδέεται με κυβερνητικούς φορείς, χρησιμοποιεί watering holes, spear phishing, backdoors και zero-day exploits για τη διεξαγωγή εκστρατειών κυβερνο-κατασκοπείας.
Σύμφωνα με την Cylance, η ομάδα έχει παραβιάσει τα συστήματα ιαπωνικών οργανισμών και επιχειρήσεων που δραστηριοποιούνται στους τομείς παραγωγής ηλεκτρικής ενέργειας, μεταφορών, πετρελαίου και φυσικού αερίου, καθώς και εταιριών του χρηματοοικονομικού και κατασκευαστικού κλάδου.
Οι ειδικοί αναφέρουν ότι οι πρώιμες επιθέσεις που πραγματοποιήθηκαν στα πλαίσια της επιχείρησης Operation Storm ήταν σχετικά απλές και εύκολα ανιχνεύσιμες. Οι δραστηριότητες της ομάδας τράβηξαν την προσοχή των ερευνητών το 2011, όταν εντοπίστηκαν πολλαπλά κρούσματα εκμετάλλευσης zero-day ευπαθειών του Adobe Flash Player (CVE-2011-0611) και του Internet Explorer (CVE-2011-1255) για τη διανομή του κακόβουλου λογισμικού «Misdat».
Τον Οκτώβριο του 2011, οι επιτιθέμενοι εκμεταλλεύτηκαν την υφιστάμενη κρίση στη Λιβύη και τον θάνατο του Μουαμάρ Καντάφι για τη στόχευση αμυντικών οργανισμών των ΗΠΑ. Το 2012, εκμεταλλεύτηκαν μια ακόμη zero-day ευπάθεια του Internet Explorer (CVE-2012-1889) για τη διεξαγωγή επιθέσεων.
Τον Μάρτιο του 2013, μετά τη δημοσίευση μια έκθεσης σχετικά με την περιβόητη και κρατικά επιχορηγούμενη κινεζική ομάδα κυβερνοκατασκοπείας, γνωστή και ως APT1, οι ειδικοί παρατήρησαν σημαντική μείωση της δραστηριότητας του Dust Storm μέχρι τον Αύγουστο του 2013. Ένα άλλο αξιοσημείωτο γεγονός έλαβε χώρα το Φεβρουάριο του 2014, όπου οι επιτιθέμενοι ξεκίνησαν να χρησιμοποιούν ένα νέο zero-day exploit του Internet Explorer (CVE-2014 με 0322) μέσω ενός watering hole στην ιστοσελίδα ενός μεταπωλητή λογισμικού.
Το 2015, oι παράγοντες απειλής ξεκίνησαν να στοχεύουν οργανισμούς στην Ιαπωνία, συμπεριλαμβανομένης μιας αυτοκινητοβιομηχανίας, την ιαπωνική θυγατρική μιας κορεάτικης εταιρείας προμήθειας ηλεκτρικής ενέργειας, καθώς και μια εταιρεία πετρελαίου και φυσικού αερίου.
Το Μάιο του 2015, η ομάδα πρόσθεσε διάφορα Android backdoors στο οπλοστάσιό της. Τα είδη του κακόβουλου λογισμικού που χρησιμοποιούνταν στις πρώτες επιθέσεις ήταν απλά και εύκολο να ανιχνευθούν, όμως οι πιο πρόσφατες εκστρατείες αξιοποιούσαν εξελιγμένες απειλές που σε μεγάλο βαθμό απέφυγαν τα προϊόντα ασφαλείας, αναφέρει η Cylance στην έκθεσή της.
πηγη
Κάντε like στη σελίδα μας στο facebook και ενημερωθείτε για ό,τι νέο.
