Istraživači kompanije Kaspersky pratili su pomeranje fokusa SideWinder grupe poznate po naprednim trajnim pretnjama (APT) prema nuklearnim elektranama u Južnoj Aziji, što predstavlja značajnu eskalaciju u oblasti ciljane špijunaže. Ova grupa je istovremeno proširila svoje operacije širom Afrike, jugoistočne Azije i delova Evrope.
Tim za globalna istraživanja i analize kompanije Kaspersky (GReAT) dokumentovao je zabrinjavajuću dvostruku pretnju od strane APT grupe SideWinder, koja sada pokazuje pojačan fokus na nuklearne elektrane i energetske objekte širom Južne Azije. Ovaj fokus na nuklearne elektrane ide paralelno sa geografskom ekspanzijom grupe izvan njenih uobičajenih oblasti.
Aktivna bar od 2012. godine, SideWinder grupa je tradicionalno ciljala vladine, vojne i diplomatske entitete. Grupa je proširila svoj profil žrtava, uključujući pomorsku infrastrukturu i logističke kompanije širom jugoistočne Azije, dok je sada postavila nove ciljeve u nuklearnom sektoru. Istraživači kompanije Kaspersky su primetili porast napada usmerenih na agencije za nuklearnu energiju pomoću usko targetiranih fišing imejlova i zlonamernih fajlova prepunih specifične terminologije iz ove industrije.
Prateći delovanje SideWinder grupe u 15 zemalja i na tri kontinenta, kompanija Kaspersky je zabeležila brojne napade u Džibutiju pre nego što je grupa promenila fokus na Egipat i pokrenula dodatne operacije u Mozambiku, Austriji, Bugarskoj, Kambodži, Indoneziji, Filipinima i Vijetnamu. Diplomatske ispostave u Avganistanu, Alžiru, Ruandi, Saudijskoj Arabiji, Turskoj i Ugandi takođe su bile na meti, što dodatno ilustruje širenje SideWinder grupe daleko izvan Južne Azije.
„Ono čemu prisustvujemo nije samo geografska ekspanzija, već strateška evolucija u sposobnostima i ambicijama SideWinder grupe“, rekao je Vasilij Berdnikov, vodeći istraživač bezbednosti u Kaspersky GreAT timu. „Oni mogu da implementiraju ažurirane varijante malvera nakon detekcije i to izuzetno brzo, što transformiše pejzaž pretnji iz reaktivnog u borbu u praktično realnom vremenu.“
Uprkos oslanjanju na stariju ranjivost Microsoft Office programa (CVE-2017-11882), SideWinder grupa koristi brze modifikacije svog alata za izbegavanje detekcije. U svrhu targetiranja nuklearne infrastrukture, grupa kreira uverljive usko targetirane imejlove koji deluju kao da se odnose na regulatorna ili specifična pitanja postrojenja. Kada se otvore, ovi dokumenti pokreću lanac eksploatacije koji napadačima može omogućiti pristup operativnim podacima nuklearnih objekata, istraživačkim projektima i podacima o osoblju.
Kompanija Kaspersky štiti organizacije od ovakvih napada kroz više slojeva bezbednosti, uključujući rešenja za upravljanje ranjivostima, prevenciju napada u ranim fazama, detekciju pretnji u realnom vremenu sa automatizovanim odgovorom i kontinuirano ažurirana pravila detekcije koja su usklađena sa evolucijom malvera SideWinder grupe.
Puna tehnička analiza najnovijih operacija SideWinder grupe dostupna je na Securelist.com.
Kako bi pomogli organizacijama da zaštite svoju ključnu infrastrukturu od sofisticiranih ciljanih napada, stručnjaci za sigurnost kompanije Kaspersky preporučuju sledeće mere:
• Implementirajte sveobuhvatan sistem za upravljanje zakrpama. Kaspersky Vulnerability Assessment and Patch Management obezbeđuje automatizovano otkrivanje ranjivosti i distribuciju zakrpa kako bi se eliminisali sigurnosni propusti u vašoj infrastrukturi.
• Primenite višeslojna sigurnosna rešenja koja mogu da detektuju pretnje u realnom vremenu. Kaspersky Next XDR Expert objedinjuje i korelira podatke iz više izvora koristeći tehnologije mašinskog učenja za efikasnu detekciju pretnji i automatizovani odgovor na sofisticirane napade.
• Sprovedite redovne obuke zaposlenih o sajber bezbednosti sa posebnim fokusom na prepoznavanje sofisticiranih pokušaja usko targetiranih fišing napada.
