Cercetatorii Kaspersky au observat o schimbare in strategia grupului APT SideWinder, care vizeaza acum centrale nucleare din Asia de Sud, marcand o escaladare semnificativa a activitatilor sale de spionaj cibernetic. In paralel, actorul amenintarii si-a extins operatiunile in Africa, Asia de Sud-Est si anumite regiuni din Europa.

Echipa Globala de Cercetare si Analiza (GReAT) de la Kaspersky a documentat o amenintare ingrijoratoare cu doua directii din partea grupului APT SideWinder, care isi focalizeaza atentia asupra centralelor nucleare si a facilitatilor energetice din Asia de Sud. Aceasta schimbare strategica are loc simultan cu extinderea geografica a grupului dincolo de zonele sale conventionale de operare.

Activ cel putin din 2012, SideWinder a vizat in mod traditional entitati guvernamentale, militare si diplomatice. Grupul si-a extins recent profilul victimelor, incluzand infrastructura maritima si companiile de logistica din Asia de Sud-Est, iar acum isi indreapta atentia catre sectorul nuclear. Cercetatorii Kaspersky au observat o crestere a atacurilor indreptate impotriva agentiilor din domeniul energiei nucleare, folosind e-mailuri de tip spear-phishing si documente rau intentionate incarcate cu terminologie specifica industriei.

Urmarind SideWinder in 15 tari de pe trei continente, Kaspersky a observat numeroase atacuri in Djibouti, inainte ca grupul sa-si indrepte atentia asupra Egiptului si sa lanseze operatiuni suplimentare in Mozambic, Austria, Bulgaria, Cambodgia, Indonezia, Filipine si Vietnam. Au fost vizate, de asemenea, entitati diplomatice din Afganistan, Algeria, Rwanda, Arabia Saudita, Turcia si Uganda, demonstrand si mai mult extinderea SideWinder dincolo de Asia de Sud.

In ciuda faptului ca se bazeaza pe o vulnerabilitate mai veche Microsoft Office (CVE-2017-11882), SideWinder foloseste modificari rapide ale setului sau de instrumente pentru a evita detectarea. In tintirea infrastructurii nucleare, grupul creeaza e-mailuri convingatoare de tip spear-phishing care par sa se refere la chestiuni de reglementare sau specifice centralelor. Odata deschise, aceste documente initiaza un lant de exploatare care poate oferi atacatorilor acces la datele operationale ale instalatiilor nucleare, proiectele de cercetare si detaliile legate de personal.

Kaspersky protejeaza organizatiile impotriva acestor atacuri printr-un sistem multi-strat de securitate, care include solutii de gestionare a vulnerabilitatilor, prevenirea atacurilor in stadii incipiente, detectarea amenintarilor in timp real cu raspuns automatizat si reguli de detectie actualizate constant, aliniate la evolutia malware-ului utilizat de SideWinder.

Analiza tehnica completa a celor mai recente operatiuni ale SideWinder este disponibila pe Securelist.com.

Pentru a ajuta organizatiile sa isi protejeze infrastructura critica impotriva atacurilor tintite sofisticate, expertii in securitate Kaspersky recomanda urmatoarele masuri: 

• Implementati un management complet al patch-urilor. Kaspersky Vulnerability Assessment and Patch Management ofera detectarea automata a vulnerabilitatilor si distributia de corectii pentru a elimina lacunele de securitate din infrastructura dumneavoastra. 

• Implementati solutii de securitate cu mai multe straturi cu capabilitati de detectare a amenintarilor in timp real. Kaspersky Next XDR Expert include si coreleaza datele din mai multe surse folosind tehnologii de invatare automata pentru detectarea eficienta a amenintarilor si raspunsul automat la atacurile sofisticate. 

• Desfasurati cursuri regulate de constientizare a securitatii cibernetice pentru angajati, cu un accent special pe recunoasterea incercarilor sofisticate de spear-phishing.

comunicat oficial