.jpg)
.jpg){kind=small}
– Trusselaktøren opererer med sofistikert operasjonell sikkerhet, på et nivå vi bare har sett hos et lite knippe aktører, skriver cybersikkerhetsselskapet Mandiant i et blogginnlegg om gruppa de har valgt å kalle UNC3524.
De kriminelle ser ut til å ha spesialisert seg på å snoke i e-poster, de og bruker noen av de samme metodene som kjente russiske spionasje-grupper. Men Mandiant «kan ikke konkludere med at det er en sammenheng».
Gruppa utnytter tilkoblede dingser, som kameraet i møteromsløsninger, og legitime Windows-funksjoner for å holde seg skjult i nettverket i så mye som halvannet år før de blir oppdaget.
– Når sikkerhetsbrudd først blir oppdaget, kaster ikke gruppa bort noe tid, de re-kompromitterer miljøet ved hjelp av en rekke mekanismer og tar umiddelbart opp igjen data-tyveriet, skriver Mandiant.
Derek ble forelsket i KI-«kjæresten»
Trolig motivert av spionasje
– E-post-meldinger med vedlegg er en rik kilde til informasjon om organisasjoner og blir lagret samlet, så det er enkelt for trusselaktører å samle dem opp, skriver Mandiant.
De fleste e-post-systemer, enten de er i skya eller on prem, tilbyr metoder for å søke og få tilgang til e-post på tvers av organisasjonen, slik som Ediscovery og Graph API. Det er nettopp slike verktøy gruppa misbruker.
Når de først er inne i systemet, kan de bruke API-et til Exchange-serverne til å etterspørre og hente e-poster. Etterforskerne fant at gruppa jobbet målrettet mot innboksene til ansatte i ledergruppa, i anskaffelsesavdelingene, økonomiavdelingene og i sikkerhetsteamet.
– På overflaten kan målrettingen mot individer som jobber med bedrifts-transaksjoner tyde på økonomiske motiver, men det at de klarer å holde seg uoppdaget så lenge, tyder på spionasje, mener Mandiant.
Utnytter sårbarheter i IOT
Mandiant har ikke funnet ut hvordan gruppa først får tilgang til nettverket, men når tilgangen først er sikret, deployer gruppa en ny bakdør av den typen Mandiant kaller Quietexit.
_logo.svg.png){kind=logo}
Bakdørene settes på deler av nettverket som gjerne ikke støtter sikkerhetsprogramvare, som tilkoblede enheter som kameraet i konferanseløsninger. Denne typen dingser, gjerne referert til med samlebetegnelsen IOT (Internet of Things), kan være i blindsonen til de sikkerhetsansvarlige, mener Mandiant.
Samtidig utnytter de innebygde Windows-protokoller for å få tilgang til e-post og Microsoft Exchange-servere.
– Ved å gå etter pålitelige systemer som ikke støtter noen form for sikkerhetsverktøy, kan UNC3524 holde seg uoppdaget i nettverket til miljøet i minst 18 måneder, skriver Mandiant.
Vanskelig å oppdage
På denne måten etterlater gruppa seg et ganske beskjedent fotavtrykk og er vanskelig å oppdage.
Fortsatt er det beste alternativet nettverksbasert logging, med et spesielt skarpt øye på applikasjonslaget for å se etter unormal SSH-trafikk, mener Mandiant.
– Virksomheter bør sørge for å ha oversikt over enheter som er på nettverket og som ikke støtter monitoreringsverktøy. Hver enhet har antageligvis leverandørspesifikke metoder for å sikre skikkelig logging, skriver Mandiant.
Dataangrepet på departementer: – Mangelen på spor gjør meg bekymra
