Φατίχ Γιουρτσέβερ* - turkishminute.com / Παρουσίαση Freepen.gr
Τα τελευταία χρόνια η τουρκική αμυντική βιομηχανία έχει αναπτύξει σημαντικά έργα, όπως η παραγωγή οπλισμένων μη επανδρωμένων εναέριων και επιφανειακών οχημάτων και υποβρύχιων και επιφανειακών ή υποβρύχιων συστημάτων διαχείρισης μάχης. Έχει καταστεί απαραίτητο να προστατεύονται τα κρίσιμα συστήματα πληροφοριών αποθήκευσης από επιθέσεις στον κυβερνοχώρο και να δημιουργηθεί ασφάλεια πληροφοριών. Πόσο καλά είναι τα κρίσιμα ιδρύματα όπως το Επιστημονικό και Τεχνολογικό Ερευνητικό Συμβούλιο της Τουρκίας (TÜBİTAK) και η Διοίκηση Τουρκικών Ναυτικών Δυνάμεων, που αποτελούν κύρια συστατικά του οικοσυστήματος της τουρκικής αμυντικής βιομηχανίας, προστατευμένα από την κυβερνοκατασκοπεία και τις κυβερνοεπιθέσεις, και πόσο καλά είναι το προσωπικό από αυτά τα ιδρύματα που έχουν εκπαιδευτεί στην ασφάλεια στον κυβερνοχώρο;
Ομάδα hacking Muren Shark APT
Το Muren Shark είναι μια νέα απειλητική οντότητα που δραστηριοποιείται στη Μέση Ανατολή, στοχεύοντας κυρίως την Τουρκία. Οι προσδιορισμένοι στόχοι περιλαμβάνουν την TÜBİTAK και τις τουρκικές ναυτικές δυνάμεις. Οι κύριες τεχνικές επίθεσης του Muren Shark περιλαμβάνουν τη μετάδοση εγγράφων phishing και διαδικτυακών υπηρεσιών επίθεσης για άμεσους σκοπούς, συμπεριλαμβανομένης της επέκτασης των πόρων επίθεσης, της διείσδυσης σε δίκτυα στόχων και της κλοπής κρίσιμων δεδομένων. Οι γνωστές κυβερνοεπιθέσεις της οργάνωσης εμφανίστηκαν για πρώτη φορά τον Απρίλιο του 2021 με την εισβολή σε ιστοσελίδες πανεπιστημίων. Ο Muren Shark έχει κάνει καλή δουλειά κρύβοντας τις πληροφορίες του επιτιθέμενου στις δραστηριότητες που έχει πραγματοποιήσει και η γεωγραφική του σχέση δεν έχει ακόμη επιβεβαιωθεί.
Ο πιο πρόσφατος γύρος δραστηριότητας Muren Shark σημειώθηκε στις αρχές Αυγούστου 2022, όταν οι επιτιθέμενοι με διάφορες μορφές τουρκικών εγγράφων phishing για να επιτεθούν σε συγκεκριμένους στόχους στην Τουρκία. Τα έγγραφα phishing που εμφανίστηκαν σε αυτόν τον γύρο επιθέσεων έχουν τα ακόλουθα ονόματα αρχείων:
Επιθέσεις phishing
Έγγραφα που διέρρευσαν ή αποκτήθηκαν από την TÜBİTAK και το τουρκικό ναυτικό χρησιμοποιήθηκαν στις επιθέσεις phishing. Είναι ακόμη άγνωστο πώς οι χάκερ απέκτησαν αυτά τα έγγραφα.
Η διαδικασία που χρησιμοποιεί ο κυβερνοεπιτιθέμενος είναι πολύ ενδιαφέρουσα. Η Muren Shark επέλεξε το Yakın Doğu College στη βόρεια (τουρκική) Κύπρο ως κύριο στόχο των κυβερνοεπιθέσεων της. Διείσδυσαν στον ιστότοπο του κολεγίου και τον χρησιμοποίησαν ως διακομιστή ελέγχου εντολών και μεταφοράς δεδομένων για ακριβώς ένα χρόνο. Μέσω αυτού του διακομιστή έστελναν τα κλεμμένα έγγραφα από τα διεισδυμένα δίκτυά τους στα προκαθορισμένα σημεία. Προσπάθησαν να καλύψουν τα ίχνη τους για να αποφύγουν τον εντοπισμό κατά τη διάρκεια της επίθεσης. Ως εκ τούτου, οι ταυτότητες και οι τοποθεσίες τους δεν ήταν δυνατό να προσδιοριστούν.
Οι χάκερς ενσωμάτωσαν μυστικό λογισμικό κατασκοπείας σε δύο έγγραφα που είχαν αποκτήσει προηγουμένως για τις επιθέσεις phishing. Στη συνέχεια έστειλαν αυτά τα έγγραφα με το λογισμικό κατασκοπείας ενσωματωμένο σε υπαλλήλους και των δύο ιδρυμάτων σαν να προέρχονταν από την TÜBITAK και τη Διοίκηση των Τουρκικών Ναυτικών Δυνάμεων. Όταν οι υπάλληλοι που λαμβάνουν το email κάνουν κλικ στο συνημμένο έγγραφο, το λογισμικό υποκλοπής μεταφορτώνεται στους υπολογιστές τους. Τώρα το Trojan spyware είναι έτοιμο να εκτελεστεί κρυφά στον υπολογιστή-στόχο.
συμπέρασμα
Όπως δείχνουν οι πληροφορίες που δημοσιεύονται στην έκθεση, η ομάδα Muren Shark APT χρησιμοποίησε κυβερνοκατασκοπεία για να λάβει πληροφορίες σχετικά με το ολοκληρωμένο σύστημα διαχείρισης μάχης (MÜREN), το οποίο αναπτύχθηκε σε εθνικό επίπεδο και προοριζόταν για χρήση σε υποβρύχια. Δυστυχώς, αυτό το περιστατικό δείχνει ότι οι δυνατότητες κυβερνοάμυνας των κρατικών ιδρυμάτων που εμπλέκονται στην ανάπτυξη έργων αμυντικής βιομηχανίας, όπως το TÜBİTAK και η Διοίκηση Ναυτικών Δυνάμεων, δεν είναι στο απαιτούμενο επίπεδο. Το προσωπικό που εργάζεται σε αυτά τα ιδρύματα δεν είναι επαρκώς εκπαιδευμένο σε θέματα κυβερνοασφάλειας. Η Τουρκία είναι μια χώρα που βρίσκεται στο επίκεντρο των δραστηριοτήτων κυβερνοκατασκοπείας λόγω των σημαντικών έργων που έχει αναπτύξει στην αμυντική βιομηχανία τα τελευταία χρόνια. Πρώτα απ 'όλα, θα πρέπει να διευκρινιστεί πώς οι χάκερς πήραν τα δύο έγγραφα που χρησιμοποίησαν στις επιθέσεις phishing, και πρέπει να καθοριστεί με ακρίβεια ποια έγγραφα συνέλαβαν οι χάκερ στις επιθέσεις στον κυβερνοχώρο. Τα μέτρα άμυνας στον κυβερνοχώρο θα πρέπει να επανεξεταστούν στο TÜBİTAK και το τουρκικό ναυτικό και το προσωπικό θα πρέπει να εκπαιδευτεί σε αυτό το θέμα.
* Ο Fatih Yurtsever είναι πρώην αξιωματικός του ναυτικού στις Τουρκικές Ένοπλες Δυνάμεις. Χρησιμοποιεί ψευδώνυμο για λόγους ασφαλείας.