Istraživači kompanije Kaspersky pratili su pomeranje fokusa SideWinder grupe poznate po
naprednim trajnim pretnjama (APT) prema nuklearnim elektranama u Južnoj Aziji, što
predstavlja značajnu eskalaciju u oblasti ciljane špijunaže. Ova grupa je istovremeno proširila
svoje operacije širom Afrike, jugoistočne Azije i delova Evrope.
Tim za globalna istraživanja i analize kompanije Kaspersky (GReAT) dokumentovao je
zabrinjavajuću dvostruku pretnju od strane APT grupe SideWinder, koja sada pokazuje
pojačan fokus na nuklearne elektrane i energetske objekte širom Južne Azije. Ovaj fokus na
nuklearne elektrane ide paralelno sa geografskom ekspanzijom grupe izvan njenih uobičajenih
oblasti.
Aktivna bar od 2012. godine, SideWinder grupa je tradicionalno ciljala vladine, vojne i
diplomatske entitete. Grupa je proširila svoj profil žrtava, uključujući pomorsku infrastrukturu i
logističke kompanije širom jugoistočne Azije, dok je sada postavila nove ciljeve u nuklearnom
sektoru. Istraživači kompanije Kaspersky su primetili porast napada usmerenih na agencije za
nuklearnu energiju pomoću usko targetiranih fišing imejlova i zlonamernih fajlova prepunih
specifične terminologije iz ove industrije.
Prateći delovanje SideWinder grupe u 15 zemalja i na tri kontinenta, kompanija Kaspersky je
zabeležila brojne napade u Džibutiju pre nego što je grupa promenila fokus na Egipat i
pokrenula dodatne operacije u Mozambiku, Austriji, Bugarskoj, Kambodži, Indoneziji,
Filipinima i Vijetnamu. Diplomatske ispostave u Avganistanu, Alžiru, Ruandi, Saudijskoj Arabiji,
Turskoj i Ugandi takođe su bile na meti, što dodatno ilustruje širenje SideWinder grupe daleko
izvan Južne Azije.
„Ono čemu prisustvujemo nije samo geografska ekspanzija, već strateška evolucija u
sposobnostima i ambicijama SideWinder grupe“, rekao je Vasilij Berdnikov, vodeći istraživač
bezbednosti u Kaspersky GreAT timu. „Oni mogu da implementiraju ažurirane varijante
malvera nakon detekcije i to izuzetno brzo, što transformiše pejzaž pretnji iz reaktivnog u
borbu u praktično realnom vremenu.“
Uprkos oslanjanju na stariju ranjivost Microsoft Office programa (CVE-2017-11882),
SideWinder grupa koristi brze modifikacije svog alata za izbegavanje detekcije. U svrhu
targetiranja nuklearne infrastrukture, grupa kreira uverljive usko targetirane imejlove koji deluju
kao da se odnose na regulatorna ili specifična pitanja postrojenja. Kada se otvore, ovi
dokumenti pokreću lanac eksploatacije koji napadačima može omogućiti pristup operativnim
podacima nuklearnih objekata, istraživačkim projektima i podacima o osoblju.
Kompanija Kaspersky štiti organizacije od ovakvih napada kroz više slojeva bezbednosti,
uključujući rešenja za upravljanje ranjivostima, prevenciju napada u ranim fazama, detekciju
pretnji u realnom vremenu sa automatizovanim odgovorom i kontinuirano ažurirana pravila
detekcije koja su usklađena sa evolucijom malvera SideWinder grupe.
Puna tehnička analiza najnovijih operacija SideWinder grupe dostupna je na Securelist.com.
Kako bi pomogli organizacijama da zaštite svoju ključnu infrastrukturu od sofisticiranih ciljanih
napada, stručnjaci za sigurnost kompanije Kaspersky preporučuju sledeće mere:
• Implementirajte sveobuhvatan sistem za upravljanje zakrpama. Kaspersky Vulnerability
Assessment and Patch Management obezbeđuje automatizovano otkrivanje ranjivosti i
distribuciju zakrpa kako bi se eliminisali sigurnosni propusti u vašoj infrastrukturi.
• Primenite višeslojna sigurnosna rešenja koja mogu da detektuju pretnje u realnom vremenu.
Kaspersky Next XDR Expert objedinjuje i korelira podatke iz više izvora koristeći tehnologije
mašinskog učenja za efikasnu detekciju pretnji i automatizovani odgovor na sofisticirane
napade.
• Sprovedite redovne obuke zaposlenih o sajber bezbednosti sa posebnim fokusom na
prepoznavanje sofisticiranih pokušaja usko targetiranih fišing napada.