Subtle Snail
Az UnSubtle Snail (UNC1549) csoport tevékenysége feltűnően célzott, kitartó és összetett, olyan európai vállalatokat és szervezeteket támad, amelyek a telekommunikáció, légiipar, vagy a védelem területén dolgoznak.
A Prodaft jelentése szerint a Subtle Snail működését kiterjedt felderítéssel kezdi, hogy azonosítsa a célszervezetek kulcsfontosságú személyzetét. Ez a profilalkotási tevékenység azokra a személyekre összpontosít, akik kiemelt hozzáféréssel rendelkeznek a kritikus rendszerekhez, beleértve a hálózati infrastruktúrát, a fejlesztési környezeteket és a belső kommunikációs platformokat. A kutatók, fejlesztők és IT-adminisztrátorok elsődleges célpontnak számítanak, mivel kiváltságos hozzáféréssel rendelkeznek az érzékeny rendszerekhez és a tulajdonosi információ. A támadók nyilvános forrásokból, például a LinkedIn-ről és más szakmai platformokról gyűjtik össze ezeket az információkat, hogy megismerjék az áldozatok személyazonosságát. Emellett átfogó szervezeti információkat is gyűjtenek, feltérképezik a vállalati hierarchiákat, a műszaki csapatok struktúráját és a célvállalatokon belüli projektkapcsolatokat. Egy fontos előzetes lépésként a támadók spearphishing-t indítanak. Amint bejutnak a rendszerbe, a támadók több lépcsős háttérmodulokat telepítenek, amelyek gondosan rejtve maradnak, gyakran régi vagy kevésbé karbantartott komponensek kihasználásával.
Az infrastruktúra részeként kompromittált felhőszolgáltatásokat használnak kommunikációs csatornaként, hogy elkerüljék az észlelést. A Subtle Snail új felhasználói jogosultságokat szerezhet, adatgyűjtést végezhet, és bizonyos esetekben úgy manipulálhat kulcskomponenseket, hogy azok később kihasználják a hálózatot. A jelentés kiemeli, hogy ezek a támadások nem gyorsak, hanem hosszú távúak, hónapokon vagy éveken át folyhatnak anélkül, hogy a célpont észrevennék.
A jelentés bemutatja, milyen komplex infrastruktúrát építenek ki az ilyen kémtevékenységekhez – nem csupán technikai eszközöket, hanem pszichológiai megtévesztést, a talált szoftvereket (LotL), és álcázott kommunikációkat kombinálva.
