Εκστρατεία Hacking-για-Ενοικίαση Στοχεύει Ακτιβιστές και Δημοσιογράφους

Παγκόσμια Εκστρατεία Phishing Hacking-για-Ενοικίαση Εκθέτει Χρήστες Smartphone Παγκοσμίως

Μια εκτεταμένη κυβερνοασφαλιστική έρευνα αποκάλυψε μια ενεργή επιχείρηση phishing hacking-για-ενοικίαση που στοχεύει συσκευές iOS και Android σε όλο τον κόσμο. Η εκστρατεία, που αποδίδεται στην ομάδα BITTER APT, ανέπτυξε σχεδόν 1.500 δόλιους τομείς σχεδιασμένους για την υποκλοπή διαπιστευτηρίων Apple ID και άλλων στοιχείων σύνδεσης από υψηλής αξίας στόχους, συμπεριλαμβανομένων κυβερνητικών αξιωματούχων, δημοσιογράφων και ακτιβιστών. Μόλις οι επιτιθέμενοι αποκτούσαν πρόσβαση, μπορούσαν να φτάσουν σε ευαίσθητα αντίγραφα ασφαλείας iCloud και ιδιωτικές επικοινωνίες, μετατρέποντας έναν απλό κλεμμένο κωδικό πρόσβασης σε μια πλήρη επιχείρηση συλλογής πληροφοριών.

Η κλίμακα και η στόχευση αυτής της εκστρατείας σηματοδοτούν κάτι σημαντικό: δεν πρόκειται για ευκαιριακό κυβερνοέγκλημα. Είναι οργανωμένη, επίμονη και στοχευμένη σε ανθρώπους των οποίων οι επικοινωνίες και οι ταυτότητες έχουν πραγματική αξία στον κόσμο.

Ποια Είναι η BITTER APT και Τι Επιδιώκει

Το APT σημαίνει Advanced Persistent Threat (Προηγμένη Επίμονη Απειλή), μια κατηγορία απειλητικού παράγοντα που δρα με συγκεκριμένους στόχους, σημαντικούς πόρους και μακροπρόθεσμη υπομονή. Η BITTER APT παρακολουθείται από ερευνητές ασφαλείας εδώ και χρόνια και συνδέεται γενικά με επιχειρήσεις κινήτρου κατασκοπείας στη Νότια και Νοτιοανατολική Ασία, αν και εκστρατείες όπως αυτή επιδεικνύουν ευρύτερη διεθνή εμβέλεια.

Το μοντέλο hacking-για-ενοικίαση προσθέτει ένα ακόμη επίπεδο ανησυχίας. Αντί να ενεργούν αποκλειστικά για λογαριασμό μιας κυβέρνησης ή οργανισμού, οι ομάδες hacking-για-ενοικίαση πουλούν τις δυνατότητές τους σε πελάτες που θέλουν να συλλέξουν πληροφορίες για συγκεκριμένα άτομα. Δημοσιογράφοι που ερευνούν ευαίσθητες ιστορίες, ακτιβιστές που αμφισβητούν ισχυρά συμφέροντα και αξιωματούχοι που κατέχουν εμπιστευτικές κυβερνητικές πληροφορίες είναι ακριβώς το είδος των στόχων για τους οποίους πληρώνουν οι πελάτες αυτοί.

Η χρήση σχεδόν 1.500 πλαστών τομέων είναι ιδιαίτερα σημαντική. Η κατασκευή και συντήρηση τόσο μεγάλου όγκου δόλιας υποδομής απαιτεί σοβαρή επένδυση, γεγονός που αντανακλά πόσο αξίζουν αυτοί οι στόχοι σε όποιον ανέθεσε την επιχείρηση.

Πώς Λειτουργεί η Επίθεση Phishing

Το phishing σε αυτό το επίπεδο εκλέπτυνσης δεν μοιάζει με τα κακογραμμένα απατηλά email που οι περισσότεροι άνθρωποι έχουν μάθει να αναγνωρίζουν. Η επιχείρηση της BITTER APT περιελάμβανε προσεκτικά σχεδιασμένες πλαστές ιστοσελίδες που μιμούνταν νόμιμες σελίδες σύνδεσης Apple ID και άλλες πύλες υπηρεσιών. Ο στόχος λαμβάνει αυτό που φαίνεται να είναι μια συνηθισμένη ειδοποίηση ασφαλείας ή γνωστοποίηση λογαριασμού, κάνει κλικ σε ένα πειστικό αντίγραφο ιστοσελίδας και εισάγει τα διαπιστευτήριά του χωρίς να συνειδητοποιεί ότι τα έχει παραδώσει απευθείας σε έναν επιτιθέμενο.

Για το Apple ID συγκεκριμένα, οι συνέπειες ξεπερνούν κατά πολύ την απώλεια πρόσβασης σε έναν λογαριασμό App Store. Τα διαπιστευτήρια Apple ID ξεκλειδώνουν αντίγραφα ασφαλείας iCloud που μπορεί να περιέχουν χρόνια μηνυμάτων, φωτογραφιών, επαφών, ιστορικού τοποθεσίας και δεδομένων εφαρμογών. Ένας επιτιθέμενος με αυτά τα διαπιστευτήρια δεν χρειάζεται να παραβιάσει την ίδια τη συσκευή· απλώς συνδέεται και κατεβάζει ό,τι έχει αποθηκευτεί αυτόματα ως αντίγραφο ασφαλείας.

Οι χρήστες Android αντιμετωπίζουν παρόμοιους κινδύνους μέσω κλοπής διαπιστευτηρίων που στοχεύουν λογαριασμούς Google και άλλες υπηρεσίες που συγκεντρώνουν προσωπικά δεδομένα σε συσκευές και εφαρμογές.

Τι Σημαίνει Αυτό για Εσάς

Οι περισσότεροι αναγνώστες δεν είναι κυβερνητικοί αξιωματούχοι ή ερευνητές δημοσιογράφοι, αλλά αυτό δεν σημαίνει ότι αυτή η ιστορία είναι άσχετη. Αξίζει να κρατήσετε μερικά πράγματα από αυτή την έρευνα.

Πρώτον, η υποδομή phishing που κατασκευάζεται για υψηλής αξίας στόχους μπορεί να παγιδεύσει και απλούς χρήστες. Οι πλαστοί τομείς που σχεδιάζονται για να μιμούνται υπηρεσίες Apple ή Google δεν ελέγχουν ποιος τους επισκέπτεται. Αν συναντήσετε έναν, τα διαπιστευτήριά σας κινδυνεύουν εξίσου με οποιονδήποτε άλλον.

Δεύτερον, η έκθεση του iCloud και των αντιγράφων ασφαλείας στο cloud ως κύρια επιφάνεια επίθεσης αποτελεί υπενθύμιση ότι η ασφάλεια λογαριασμού είναι ασφάλεια συσκευής. Η προστασία του τηλεφώνου σας με έναν ισχυρό κωδικό πρόσβασης σημαίνει ελάχιστα αν ένας επιτιθέμενος μπορεί να συνδεθεί στον λογαριασμό cloud σας από ένα πρόγραμμα περιήγησης και να αποκτήσει πρόσβαση σε όλα όσα είναι αποθηκευμένα εκεί.

Τρίτον, τα άτομα που κινδυνεύουν περισσότερο από εκστρατείες όπως αυτή, συμπεριλαμβανομένων δημοσιογράφων, ερευνητών, δικηγόρων, εργαζομένων στον τομέα της υγείας και ακτιβιστών, θα πρέπει να αντιμετωπίζουν την ψηφιακή τους ασφάλεια με την ίδια σοβαρότητα που θα εφάρμοζαν στη φυσική ασφάλεια σε ένα ευαίσθητο περιβάλλον.

Πρακτικά βήματα που αξίζει να κάνετε τώρα:

• Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων στο Apple ID, τον λογαριασμό Google και οποιαδήποτε άλλη υπηρεσία που αποθηκεύει ευαίσθητα δεδομένα. Αυτό το μόνο βήμα αυξάνει σημαντικά το κόστος μιας επίθεσης βασισμένης σε διαπιστευτήρια.
• Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης για να διασφαλίσετε ότι κάθε λογαριασμός έχει έναν μοναδικό, ισχυρό κωδικό. Η επαναχρησιμοποίηση διαπιστευτηρίων σε υπηρεσίες διευρύνει δραματικά τη ζημιά από οποιαδήποτε μεμονωμένη παραβίαση.
• Να είστε επιφυλακτικοί απέναντι σε οποιοδήποτε ανεπιθύμητο μήνυμα που σας ζητά να επαληθεύσετε τα διαπιστευτήρια του λογαριασμού σας, ακόμα και αν φαίνεται να προέρχεται από την Apple, την Google ή άλλη αξιόπιστη υπηρεσία. Πλοηγηθείτε απευθείας στους επίσημους ιστότοπους αντί να κάνετε κλικ σε συνδέσμους σε email ή μηνύματα.
• Ελέγξτε τι αποθηκεύεται ως αντίγραφο ασφαλείας στους λογαριασμούς cloud σας και σκεφτείτε αν όλα αυτά χρειάζεται να βρίσκονται εκεί.
• Διατηρείτε το λειτουργικό σύστημα της κινητής συσκευής σας ενημερωμένο. Οι ενημερώσεις κώδικα ασφαλείας κλείνουν ευπάθειες που εκστρατείες όπως αυτή ενδέχεται να προσπαθήσουν να εκμεταλλευτούν.

Η εκστρατεία BITTER APT είναι μια σαφής απεικόνιση ότι οι κινητές συσκευές έχουν γίνει πρωταρχικός στόχος για εξελιγμένους απειλητικούς παράγοντες, όχι απλώς δευτερεύων. Οι τεχνικές phishing που χρησιμοποιούνται είναι σχεδιασμένες να παρακάμπτουν την επαγρύπνηση, όχι να την ενεργοποιούν. Η παραμονή σε ασφάλεια απαιτεί την ανάπτυξη συνηθειών που λειτουργούν ακόμα και όταν μια επίθεση είναι πειστική, διότι οι καλύτερα σχεδιασμένες είναι φτιαγμένες για να είναι τέτοιες.

Η αναθεώρηση των ρυθμίσεων ασφαλείας του λογαριασμού σας σήμερα διαρκεί λιγότερο από δεκαπέντε λεπτά και θα μπορούσε να κάνει ουσιαστική διαφορά αν τα διαπιστευτήριά σας βρεθούν ποτέ υπό στόχευση.