Cercetătorii Kaspersky au observat o schimbare în strategia grupului APT SideWinder, care vizează acum centrale nucleare din Asia de Sud, marcând o escaladare semnificativă a activităților sale de spionaj cibernetic. În paralel, actorul amenințării și-a extins operațiunile în Africa, Asia de Sud-Est și anumite regiuni din Europa.
Echipa Globală de Cercetare și Analiză (GReAT) de la Kaspersky a documentat o amenințare îngrijorătoare cu două direcții din partea grupului APT SideWinder, care își focalizează atenția asupra centralelor nucleare și a facilităților energetice din Asia de Sud. Această schimbare strategică are loc simultan cu extinderea geografică a grupului dincolo de zonele sale convenționale de operare.
Activ cel puțin din 2012, SideWinder a vizat în mod tradițional entități guvernamentale, militare și diplomatice. Grupul și-a extins recent profilul victimelor, incluzând infrastructura maritimă și companiile de logistică din Asia de Sud-Est, iar acum își îndreaptă atenția către sectorul nuclear. Cercetătorii Kaspersky au observat o creștere a atacurilor îndreptate împotriva agențiilor din domeniul energiei nucleare, folosind e-mailuri de tip spear-phishing și documente rău intenționate încărcate cu terminologie specifică industriei.
Urmărind SideWinder în 15 țări de pe trei continente, Kaspersky a observat numeroase atacuri în Djibouti, înainte ca grupul să-și îndrepte atenția asupra Egiptului și să lanseze operațiuni suplimentare în Mozambic, Austria, Bulgaria, Cambodgia, Indonezia, Filipine și Vietnam. Au fost vizate, de asemenea, entități diplomatice din Afganistan, Algeria, Rwanda, Arabia Saudită, Turcia și Uganda, demonstrând și mai mult extinderea SideWinder dincolo de Asia de Sud.
În ciuda faptului că se bazează pe o vulnerabilitate mai veche Microsoft Office (CVE-2017-11882), SideWinder folosește modificări rapide ale setului său de instrumente pentru a evita detectarea. În țintirea infrastructurii nucleare, grupul creează e-mailuri convingătoare de tip spear-phishing care par să se refere la chestiuni de reglementare sau specifice centralelor. Odată deschise, aceste documente inițiază un lanț de exploatare care poate oferi atacatorilor acces la datele operaționale ale instalațiilor nucleare, proiectele de cercetare și detaliile legate de personal.
Kaspersky protejează organizațiile împotriva acestor atacuri printr-un sistem multi-strat de securitate, care include soluții de gestionare a vulnerabilităților, prevenirea atacurilor în stadii incipiente, detectarea amenințărilor în timp real cu răspuns automatizat și reguli de detecție actualizate constant, aliniate la evoluția malware-ului utilizat de SideWinder.
Analiza tehnică completă a celor mai recente operațiuni ale SideWinder este disponibilă pe Securelist.com.
Pentru a ajuta organizațiile să își protejeze infrastructura critică împotriva atacurilor țintite sofisticate, experții în securitate Kaspersky recomandă următoarele măsuri:
• Implementați un management complet al patch-urilor. Kaspersky Vulnerability Assessment and Patch Management oferă detectarea automată a vulnerabilităților și distribuția de corecții pentru a elimina lacunele de securitate din infrastructura dumneavoastră.
• Implementați soluții de securitate cu mai multe straturi cu capabilități de detectare a amenințărilor în timp real. Kaspersky Next XDR Expert include și corelează datele din mai multe surse folosind tehnologii de învățare automată pentru detectarea eficientă a amenințărilor și răspunsul automat la atacurile sofisticate.
• Desfășurați cursuri regulate de conștientizare a securității cibernetice pentru angajați, cu un accent special pe recunoașterea încercărilor sofisticate de spear-phishing.
