SideWinder APT új eszközei
A Kaspersky jelentése szerint a SideWinder APT csoport továbbfejlesztette támadási eszközeit és célba vette a atomenergia szektort, ami jelentős fenyegetést jelent a kritikus infrastruktúrákra nézve. A csoport már korábban is ismert volt precíz célzott támadásairól, különösen az indiai szubkontinensen és más ázsiai országokban működő katonai és kormányzati szervezetek ellen. Az új fejlemények arra utalnak, hogy a SideWinder nemcsak tovább tökéletesítette technikáit, hanem egyre veszélyesebb célpontokat választ ki.
A támadások során a csoport továbbra is adathalász e-mailekre és rosszindulatú dokumentumokra támaszkodik, amelyeket a célpontoknak küldenek el. Az új kampányban fejlett szkripteket használnak, amelyek lehetővé teszik számukra, hogy ellenőrizzék, valóban az általuk kiszemelt célpont nyitja-e meg az e-mailt. Ez a SideWinder.AntiBot.Script nevű modul segítségével történik, amely megakadályozza az automatikus elemzéseket és a kutatók általi felderítést. Csak akkor aktiválódik a tényleges támadó kód, ha a szkript megbizonyosodik róla, hogy egy valódi, érdeklődésre számot tartó célpont használja az e-mailt. Ez a technika jelentősen csökkenti az észlelés esélyét és megnehezíti a védelmi szakemberek munkáját.
Miután a célpont megnyitja az e-mailt, a támadók egy másik szkriptet is alkalmaznak, amelyet SideWinder.Bait.Script néven azonosítottak. Ennek célja, hogy további információkat gyűjtsön az áldozatról, például annak földrajzi helyzetéről, eszközének konfigurációjáról és operációs rendszeréről. Ezeket az adatokat felhasználják arra, hogy pontosan meghatározzák a legjobb módszert a rendszer kompromittálására. Ha a célpont megfelelőnek bizonyul, a támadók egy speciálisan erre a célra tervezett kártevőt telepítenek a rendszerére, amely lehetővé teszi számukra a hosszú távú jelenlét fenntartását, valamint az érzékeny információk begyűjtését.
A SideWinder eszközei olyan technikákat alkalmaznak, amelyekkel képesek elkerülni a biztonsági rendszereket, például az obfuszkáció és az ellenőrzött végrehajtás módszereit. Ezekkel a technikákkal biztosítják, hogy a kártevő ne legyen könnyen detektálható, és hogy csak akkor aktiválódjon, ha az az áldozat eszközén fut. Az új kampány során a támadók különösen nagy figyelmet fordítottak arra, hogy észrevétlenek maradjanak, és elkerüljék az automatikus kiberbiztonsági elemző rendszereket.
A célpontok kiválasztása egyértelműen a nukleáris szektor felé irányul, különösen azok az intézmények és vállalatok kerültek veszélybe, amelyek nukleáris technológiával, fejlesztésekkel vagy energiaellátással foglalkoznak. Ez arra utal, hogy a támadások mögött nem csupán pénzügyi vagy ipari kémkedési célok állhatnak, hanem geopolitikai motivációk is szerepet játszanak.
