Η Νέα Στρατηγική Κυβερνοεπίθεσης της Fancy Bear: Αποκλεισμένοι Δρομολογητές και Υπηρεσίες Cloud
Η ομάδα hacking γνωστή ως Fancy Bear, η οποία συνδέεται με τη ρωσική στρατιωτική μονάδα GRU, έχει υιοθετήσει μια ιδιαίτερα εξελιγμένη προσέγγιση στις κυβερνοεπιθέσεις της. Απομακρύνοντας τον παραδοσιακό έλεγχο υποδομών, αυτή η ομάδα έχει στραφεί στη χρήση οικιακών δρομολογητών και καταναλωτικών συσκευών για να αποκτήσει πρόσβαση σε ένα “κρυφό” δίκτυο που είναι σχεδόν αδύνατο να εντοπιστεί.
Νέες Τακτικές της Fancy Bear
Ο Fancy Bear, ή APT28, έχει εστιάσει για πάνω από 20 χρόνια σε κυβερνητικές οργανώσεις, στρατιωτικούς φορείς και κρίσιμες υποδομές, με στόχο κυρίως κράτη μέλη του ΝΑΤΟ και την Ουκρανία. Εκτός από την μετάβαση σε υποδομές δρομολογητών, η ομάδα εργαλειοποίησε ποικιλία κακόβουλων λογισμικών και ενέτεινε τη χρήση εργαλείων μίας χρήσης.
Σύμφωνα με αναλύσεις της Sekoia, παρατηρήθηκε ότι η ομάδα έχει μεταφέρει λειτουργίες της από παραδοσιακούς VPS (Virtual Private Servers) σε δρομολογητές SOHO και συσκευές edge, δραστηριότητες που προηγουμένως συνδέονταν με παλιά πρότυπα επίθεσης. Η έρευνα αναφέρει ότι αυτή η στρατηγική έχει επιτρέψει στην ομάδα να παραμένει σχεδόν αόρατη στο διαδίκτυο.
Η Χρήση Καταναλωτικών Συσκευών
Η σιωπηρή κατάληψη οικιακών δρομολογητών είναι κρίσιμη για τις νέες επιθέσεις της Fancy Bear. Επικαλούμενοι το κακόβουλο λογισμικό MooBot, έχουν καταλάβει κυριολεκτικά χιλιάδες δρομολογητές Ubiquiti, χρησιμοποιώντας τους για αναμετάδοση επικοινωνιών και φιλοξενία phishing σελίδων.
- Κατασκευή botnet από καταναλωτικά προϊόντα
- Ανακατεύθυνση κίνησης μέσω ελεγχόμενων διακομιστών
- Δημιουργία σιγής επίθεσης εν μέσω κανονικής διαδικτυακής δραστηριότητας
Στις πιο πρόσφατες επιθέσεις, η ομάδα είχε στην επίβλεψή της περίπου 18.000 διευθύνσεις IP που συνδέονταν με διακομιστές που εντάσσονταν στη δομή της, επηρεάζοντας γύρω από 200 οργανισμούς και 5.000 συσκευές.
Προηγμένες Τεχνικές Κυβερνοεπίθεσης
Από την πλευρά της τεχνικής παρέμβασης, η Fancy Bear έχει πλέον εφαρμοσει μεθόδους που περιλαμβάνουν τον πειραματισμό με εργαλεία τεχνητής νοημοσύνης για τη δημιουργία επιθέσεων “εν κινήσει”. Αυτή η εξελιγμένη προσέγγιση καθιστά την ομάδα ιδιαίτερα επικίνδυνη. Ειδικότερα, έχουν δημιουργήσει ένα infostealer που χρησιμοποιεί AI για να προγραμματίζει τις επιθέσεις τους.
Εξελικτική Στρατηγική
Η μετακίνηση της Fancy Bear προς τη χρήση υπηρεσιών cloud ως κανάλι εντολών καθιστά εξαιρετικά δύσκολη την παρακολούθηση και εντοπισμό τους. Χρησιμοποιούν βάσεις δεδομένων cloud για την επικοινωνία με το κακόβουλο λογισμικό, καθιστώντας την κυκλοφορία τους αδύνατο να εντοπιστεί από τυπικές μεθόδους παρακολούθησης.
Μέτρα Πρόληψης για Χρήστες
Οποιεσδήποτε οργανισμοί θα πρέπει να διατηρούν τις συσκευές τους ενημερωμένες, να αλλάζουν τα προεπιλεγμένα διαπιστευτήρια και να αποφεύγουν τη χρήση αχρησιμοποίητων λειτουργιών απομακρυσμένης διαχείρισης. Στις επιχειρήσεις που χρησιμοποιούν υπηρεσίες cloud, η εφαρμογή έλεγχου ταυτότητας πολλών παραγόντων είναι βασική για την προστασία από πιθανές επιθέσεις.
Το FBI έχει δημοσιεύσει δημόσια προειδοποίηση που προτρέπει τους χρήστες να αναθεωρήσουν τις ρυθμίσεις ασφαλείας τους, κυρίως λόγω της αύξησης των επιθέσεων που σχετίζονται με την Fancy Bear.
## Η άποψη του TechNoid.gr
Η τελευταία αναφορά σχετικά με τις τακτικές της Fancy Bear αποκαλύπτει μια εξελιγμένη στρατηγική που απαιτεί την προσοχή κάθε οργανισμού. Η ικανότητά τους να χρησιμοποιούν καταναλωτικά προϊόντα και υπηρεσίες cloud για να διαμορφώνουν ολόκληρα δίκτυα έρχεται σε αντίθεση με την παραδοσιακή σκέψη γύρω από την κυβερνοασφάλεια. Είναι αναγκαίο οι οργανισμοί να επενδύσουν στην ασφάλεια δικτύων και στην εκπαίδευση προσωπικού, καθότι οι επιθέσεις αναμένεται να γίνουν ακόμα πιο επικίνδυνες στο μέλλον.
