RATS, bots και phishing μέσω αντίστροφου διακομιστή μεσολάβησης: γιατί οι κυβερνοεγκληματίες έχουν βάλει στο στόχαστρο τον κλάδο των μεταφορών

Ο κυβερνοκίνδυνος θεωρείται από πολλούς ως αναπόφευκτη πραγματικότητα, αλλά για μεγάλο χρονικό διάστημα η σχετική απομόνωση του ναυτιλιακού κλάδου από τις απειλές αποτελούσε το μεγαλύτερο πλεονέκτημά του. Ο μικρός όγκος της κίνησης με χαμηλό εύρος ζώνης σήμαινε ότι η ναυτιλία αποτελούσε έναν κινούμενο στόχο σχετικά χαμηλής αξίας.

Η έλευση των υπηρεσιών LEO υψηλής απόδοσης και χαμηλής καθυστέρησης, παράλληλα με τη συνδεσιμότητα VSAT και 4/5G, έφερε τη ναυτιλία στο επίκεντρο της ψηφιοποίησης. Το επίπεδο απειλής έχει αυξηθεί αναλόγως, όπως και η ανάγκη για ρύθμιση που θα συμβάλει σε κάποιο βαθμό στη διαχείριση του κινδύνου.

Μέχρι στιγμής, οι κανόνες αυτοί αποτελούσαν ένα συνονθύλευμα διαφορετικών προσεγγίσεων, αλλά γίνονται όλο και πιο ενοποιημένοι, καθώς οι νομοθετικές οδηγίες, τα εθελοντικά συστήματα και τα βιομηχανικά πρότυπα συμπληρώνονται από κανονισμούς της Ευρωπαϊκής Ένωσης που προβλέπουν επιβολή προστίμων σε περίπτωση μη συμμόρφωσης.

Η άνοδος των ρυθμιστικών αρχών είναι επίκαιρη, καθώς οι απειλές από τους εγκληματίες του κυβερνοχώρου συνεχίζουν να αυξάνονται, τόσο σε όγκο όσο και σε πολυπλοκότητα.

Η τελευταία παγκόσμια έκθεση για τις κυβερνοαπειλές στη ναυτιλία, που εκπόνησε το Κέντρο Επιχειρήσεων Ασφάλειας (SOC) της Marlink, καταδεικνύει τις μεταβαλλόμενες τακτικές των εγκληματιών του κυβερνοχώρου, οι οποίοι προσπαθούν όλο και περισσότερο να παρακάμψουν τους μέχρι πρότινος αποτελεσματικούς ελέγχους ασφαλείας χρησιμοποιώντας νέα εργαλεία.

Το μοναδικό ναυτιλιακό SOC της Marlink παρακολούθησε ενεργά περισσότερα από 1.800 πλοία κατά το πρώτο εξάμηνο του 2024 και τα δεδομένα δείχνουν ότι η κακόβουλη δραστηριότητα κατά την περίοδο αυτή αυξήθηκε σημαντικά σε σύγκριση με το προηγούμενο έτος.

Οι αναλυτές παρατήρησαν μια συνεχή αύξηση των κοινών απειλών, όπως οι επιθέσεις Command and Control (C&C), μαζί με την εξέλιξη των επιθέσεων botnet, οι οποίες αυξάνονται σε αριθμό και πολυπλοκότητα.

Το phishing εξακολουθεί να αποτελεί την κύρια τακτική που χρησιμοποιούν οι επιτιθέμενοι για να αποκτήσουν πρόσβαση σε εταιρικά δίκτυα, αν και το SOC εντόπισε επίσης αύξηση της κακόβουλης κυκλοφορίας που περιλαμβάνεται στη μαύρη λίστα. Αυτό υπογραμμίζει τη σημασία της διατήρησης ενημερωμένων ροών πληροφοριών για τις απειλές και της εφαρμογής αυστηρών πολιτικών ασφάλειας για την αποτροπή μη εξουσιοδοτημένων συνδέσεων σε ιστότοπους υψηλού κινδύνου.

Η αυξημένη ορατότητα των συμβάντων από λύσεις προστασίας τερματικών (EDR), τείχη προστασίας και ασφάλεια ηλεκτρονικού ταχυδρομείου, σε συνδυασμό με το πλαίσιο που παρέχουν οι δυνατότητες πληροφοριών, επέτρεψε στους αναλυτές του SOC να αποκτήσουν βαθύτερη εικόνα του εξελισσόμενου τοπίου απειλών.

Οι κακόβουλοι δράστες εξελίσσουν τα μοτίβα επίθεσής τους και ξεκινούν δόλιες εκστρατείες που παρακάμπτουν ελέγχους ασφαλείας που ήταν αποτελεσματικοί στο παρελθόν, όπως η επαλήθευση δύο παραγόντων, αναγκάζοντας τους υπερασπιστές να αντιδράσουν και να αυξήσουν το επίπεδο ασφάλειας για να διασφαλίσουν την προστασία των λειτουργιών.

Κατά το πρώτο εξάμηνο του 2024, ένα σημαντικό μέρος των απειλών που εξουδετερώθηκαν από το SOC συνέχισε να ακολουθεί τον πιο κοινό φορέα επίθεσης που παρατηρείται από το 2022: το phishing. Ωστόσο, κατά την περίοδο αυτή, παρατηρήθηκε αξιοσημείωτη αύξηση μιας πιο προηγμένης μορφής γνωστής ως «reverse proxy phishing».

Το phishing είναι μια κλασική μέθοδος κυβερνοεπίθεσης όπου οι επιτιθέμενοι υποδύονται νόμιμες οντότητες (όπως τράπεζες ή πάροχοι υπηρεσιών) για να εξαπατήσουν τους χρήστες ώστε να παρέχουν ευαίσθητες πληροφορίες, όπως διαπιστευτήρια σύνδεσης ή οικονομικά δεδομένα. Το παραδοσιακό phishing βασίζεται συχνά σε ψεύτικους ιστότοπους ή δόλια μηνύματα ηλεκτρονικού ταχυδρομείου για τη συλλογή δεδομένων χρηστών.

Το «reverse proxy phishing», από την άλλη πλευρά, είναι μια πιο εξελιγμένη εκδοχή. Αντί να δημιουργεί απλώς έναν ψεύτικο ιστότοπο, ο εισβολέας εγκαθιστά έναν «proxy» που βρίσκεται μεταξύ του νόμιμου ιστότοπου και του θύματος. Αυτός ο proxy συλλέγει τα διαπιστευτήρια του χρήστη και, σε πραγματικό χρόνο, τα προωθεί στον πραγματικό ιστότοπο, κάνοντας το θύμα να αισθάνεται ότι όλα είναι φυσιολογικά. Ο κίνδυνος αυτής της μεθόδου έγκειται στο γεγονός ότι μπορεί να παρακάμψει την πολυπαραγοντική ταυτότητα (MFA), η οποία χρησιμοποιείται συνήθως για την προστασία ευαίσθητων συστημάτων.

Το reverse proxy phishing ανοίγει την πόρτα σε σοβαρές απειλές για την ασφάλεια στον κυβερνοχώρο, όπως συστήματα C&C, botnets και Trojans απομακρυσμένης πρόσβασης (RATs). Μόλις οι επιτιθέμενοι αποκτήσουν πρόσβαση σε ένα δίκτυο, μπορούν να αναπτύξουν υποδομή C&C για να ελέγχουν εξ αποστάσεως τα συστήματα που έχουν παραβιαστεί. Αυτό θα μπορούσε να επιτρέψει τη δημιουργία botnets — μεγάλων δικτύων μολυσμένων συσκευών που χρησιμοποιούνται για κακόβουλες δραστηριότητες, όπως επιθέσεις Distributed Denial of Service (DDoS).

Τα δεδομένα από το Marlink SOC υποδηλώνουν αυξανόμενη πολυπλοκότητα των απειλών στον κυβερνοχώρο που στοχεύουν τις λειτουργίες των πλοίων, ωθώντας στα όρια τα υπάρχοντα μέτρα ασφαλείας και απαιτώντας μια προληπτική προσέγγιση από τις ναυτιλιακές εταιρείες.

Για τον ναυτιλιακό τομέα, αυτές οι επιθέσεις μπορούν να επηρεάσουν σημαντικά τις λειτουργίες, από τη διακοπή της ναυτιλιακής εφοδιαστικής έως τη χειραγώγηση ευαίσθητων συστημάτων επικοινωνίας. Καθυστερήσεις, απώλεια φήμης και δαπανηρές αποκαταστάσεις είναι μόνο μερικά από τα πιθανά αποτελέσματα.

Ως απάντηση, το Marlink SOC επιδιώκει να ενισχύσει τις δυνατότητες παρακολούθησής του με μεγαλύτερη χρήση της ανίχνευσης απειλών σε πραγματικό χρόνο, της ανάλυσης συμπεριφοράς με βάση την τεχνητή νοημοσύνη, των πληροφοριών για τις απειλές και ισχυρότερων λύσεων MFA.

Η εξέλιξη του τοπίου των απειλών κατά το πρώτο εξάμηνο του 2024 συνέχισε να προκαλεί έκπληξη. Είναι σαφές ότι ακόμη και οι διαχειριστές πλοίων που έχουν ήδη λάβει μέτρα κατά των κυβερνοαπειλών πρέπει να θεωρούν αυτό ως μια συνεχή διαδικασία. Εστιάζοντας στον συνδυασμό ανθρώπων, διαδικασιών και προφυλάξεων, αυτές οι εταιρείες μπορούν να προστατεύσουν καλύτερα τον εαυτό τους και τα ενδιαφερόμενα μέρη τους, εξασφαλίζοντας ασφαλέστερες και πιο ανθεκτικές λειτουργίες.