Ο όμιλος hacking Everest φέρεται να έχει ισχυριστεί μια σημαντική παραβίαση της Nissan Motor Co., Ltd., εγείροντας νέες ανησυχίες σχετικά με την ασφάλεια των δεδομένων σε μεγάλους κατασκευαστές αυτοκινήτων.
Σύμφωνα με πρώιμες αναφορές, η ομάδα για το έγκλημα στον κυβερνοχώρο λέει ότι διεύρυνε περίπου 900 GB ευαίσθητων δεδομένων από την ιαπωνική αυτοκινητοβιομηχανία, όγκος που υποδηλώνει ευρεία πρόσβαση σε εσωτερικά συστήματα και αποθετήρια.
Ενώ το πλήρες εύρος του συμβιβασμού είναι ακόμα ασαφές, το περιστατικό υπογραμμίζει τον τρόπο με τον οποίο τα συνεργεία ransomware και κλοπής δεδομένων συνεχίζουν να στοχεύουν παγκόσμιες αλυσίδες εφοδιασμού και βιομηχανικά δεδομένα υψηλής αξίας.
Τα πρώτα σημάδια της εισβολής εμφανίστηκαν σε υπόγεια φόρουμ, όπου η ομάδα φέρεται να μοιράστηκε δείγματα απόδειξης συμβιβασμού για να υποστηρίξει τους ισχυρισμούς της.
Αυτά τα δείγματα μπορεί να περιλαμβάνουν εσωτερικά έγγραφα, αρχεία μηχανικής ή εγγραφές που σχετίζονται με πελάτες, αν και αυτό δεν έχει ακόμη επιβεβαιωθεί.
Οι αναλυτές σημειώνουν ότι τέτοιες διαρροές συχνά χρησιμεύουν ως τακτικές πίεσης σε σχήματα διπλού εκβιασμού, όπου οι εισβολείς κρυπτογραφούν και απειλούν να δημοσιεύσουν δεδομένα.
Αναλυτές Hackmanac αναγνωρισθείς την υποτιθέμενη παραβίαση και εξέδωσε έγκαιρη προειδοποίηση για κυβερνοεπίθεση, επισημαίνοντας τις κατασκευαστικές δραστηριότητες της Nissan στην Ιαπωνία ως πρωταρχικό επίκεντρο και προειδοποιώντας ότι το περιστατικό παραμένει υπό επαλήθευση.
Από τη σκοπιά του διανύσματος επίθεσης, η δραστηριότητα φαίνεται να ευθυγραμμίζεται με κοινές τακτικές που χρησιμοποιούνται από ομάδες που προηγούνται της κλοπής δεδομένων που αναζητούν αρχική πρόσβαση μέσω εκτεθειμένων απομακρυσμένων υπηρεσιών, κλεμμένων διαπιστευτηρίων VPN ή καμπανιών phishing.
Μόλις εισέλθουν στο εσωτερικό, οι φορείς απειλών συνήθως κινούνται πλευρικά, χαρτογραφούν το δίκτυο και αναζητούν διακομιστές αρχείων, αποθετήρια κώδικα και υποδομή δημιουργίας αντιγράφων ασφαλείας.
.webp.jpeg "Η Everest Hacking Group ισχυρίζεται ότι παραβίασε τη Nissan Motors")
Σε πολλές τέτοιες περιπτώσεις, αναπτύσσουν προσαρμοσμένα σενάρια για να αυτοματοποιήσουν τη συλλογή και τη σταδιοποίηση δεδομένων υψηλής αξίας πριν από την εξαγωγή.
Ενώ θα μπορούσε να αντιπροσωπεύει ένα δείγμα σελίδας διαρροής που χρησιμοποιείται για την προβολή κλεμμένων αρχείων και καταλόγων σε πιθανούς αγοραστές ή για πίεση στο θύμα.
Ροή εργασιών ύποπτης εξαγωγής δεδομένων
Ενώ οι τεχνικοί δείκτες για αυτό το συγκεκριμένο περιστατικό Nissan εξακολουθούν να εμφανίζονται, το ευρύτερο βιβλίο του Everest προτείνει έναν αγωγό δομημένης εξαγωγής δεδομένων που οι υπερασπιστές μπορούν να μελετήσουν και να μιμηθούν σε εργαστηριακές προσομοιώσεις.
Αφού αποκτήσουν βάση σε έναν παραβιασμένο κεντρικό υπολογιστή, το κακόβουλο λογισμικό ή τα σενάρια χειριστή απαριθμούν συνήθως προσαρτημένα κοινόχρηστα στοιχεία και προσβάσιμες μονάδες δίσκου, δημιουργώντας μια λίστα στόχων διαδρομών όπως διακομιστές χρηματοδότησης, κοινόχρηστα στοιχεία μηχανικής και συστήματα διαχείρισης εγγράφων.
Μια απλοποιημένη ρουτίνα απαρίθμησης σε στυλ PowerShell θα μπορούσε να μοιάζει με αυτό:
Get-SmbShare | ForEach-Object {
Get-ChildItem "\\$env:COMPUTERNAME\$_" -Recurse -ErrorAction SilentlyContinue |
Where-Object { $_.Length -gt 5MB } |
Out-File "C:\ProgramData\target_files.txt" -Append
}Σε πολλές καμπάνιες, οι εισβολείς στη συνέχεια συμπιέζουν τα σταδιακά δεδομένα σε αρχεία και τα διεγείρουν μέσω HTTPS ή μέσω ανωνυμοποιητικών σηράγγων σε διακομιστές εντολών και ελέγχου, συχνά σε συνδυασμό με την κανονική εξερχόμενη κυκλοφορία.
