To spear phishing-kampagner angreb olie- og gasindustrien inden OPEC-møde

Eksperter fra cybersikkerhedsfirmaet Bitdefender har opdaget to nylige angreb, der er så udspekulerede, at selv de mest opmærksomme risikerer at blive hacket. Angrebene brugte oplysninger på en måde, hvorpå de fremstod med en så høj troværdighed, at selv trænede medarbejdere kunne falde i fælden.

Angreb i anledning af historisk OPEC-møde

Den 12. april blev OPEC-landene, Rusland og deres allierede enige om at reducere verdens olieproduktion med 10%. Men lidt under to uger før lader det til, at nogen forsøgte at skaffe oplysninger om parterne, viser telemetri fra Bitdefenders sikkerhedscenter.

Den 31. marts blev der iværksat en spear phishing-kampagne - koordinerede angreb hvor der blev sendt mails direkte til specifikke olie- og gasselskaber samt enkeltpersoner i bl.a. Malaysia, USA, Iran, Sydafrika, Oman og Tyrkiet.

Kampagnen bestod af en velkonstrueret mail, der udgav sig for at være fra det egyptiske statsstøttede selskab ENPPI, som bl.a. står for on- og offshore olie- og gas-projekter. I mailen indgik et tilbud om at byde på et ægte projekt på vegne af det virkelige gasselskab Burullus. Både ENPPI og Burullus er i virkeligheden relateret til det pågældende projekt.

Det er en udspekuleret måde at konstruere mailen på, forklarer Bitdefenders sikkerhedsekspert Liviu Arsene: “For en person i olie- og gasindustrien lader alt til at stemme overens med virkeligheden, men åbner vedkommende for den vedhæftede information, inficeres enheden med spywaren ‘Agent Tesla’, som samler sensitive data og forskellige typer af legitimationsoplysninger og sender det til hackerne.”

“At angrebet er blevet rettet mod de specifikke mål på det specifikke tidspunkt, peger på et motiveret ønske om at kende til de involverede landes eller olieselskabers planer ift. det historiske OPEC-møde”, fortæller Arsene.

Angreb udnyttede et ægte tankskib og dets rute

Det andet angreb var også en spear phishing-kampagne med det formål at inficere med spywaren ‘Agent Tesla’. I dette tilfælde fandt det sted mellem den 12. og 14. april og var rettet mod en håndfuld shippingselskaber med base i Filippinerne.

Årsagen til det specifikke tidspunkt skal findes i, at tankskibet Sinar Maluku var sejlet fra havn den 12. april og skulle ankomme til sin destination den 14. april. Angrebet bestod af en mail, der udgav sig for at være fra et shippingselskab, hvori der blev brugt fag-jargon om, at modtageren skulle sende Sinar Malukus ‘EPDA’ (Estimated Port Disbursement Account), samt information om ‘cfm’ (container flow management).

Hackerne bliver mere udspekulerede

De to helt nye angreb illustrerer, hvor udspekulerede hackerne er i dag, fortæller Liviu Arsene: “De to angreb viser, hvor langt hackerne vil gå i forsøget på at skaffe specifikke informationer om deres ofre. I begge tilfælde er kampagnerne så velkonstruerede, at selv en agtpågivende person kan risikere at blive snydt pga. hackernes brug af virkelige og tidssvarende informationer, relateret direkte til ofrenes brancher.”

“Det lader til, at hvis bagmændene ønsker at stjæle specifikke oplysninger fra et særligt offer, så sætter de sig ind i offerets virkelighed og forsøger at efterligne og udnytte det i deres angreb. Dette gør angrebene endnu mere succesfulde, da der ikke er meget der vækker ofrenes mistanke”, forklarer Arsene.

Læs mere om angrebene i dette whitepaper udarbejdet af Bitdefender: https://labs.bitdefender.com/2020/04/oil-&-gas-spearphishing-campaigns-drop-agent-tesla-spyware-in-advance-of-historic-opec+-deal/