A szállítmányozási és fuvarozó vállalatokat célzó kibertámadások egyre gyakoribbá válnak, különösen az olyan távoli felügyeleti és menedzsment eszközök (RMM – Remote Monitoring and Management) révén, amelyek segítségével a támadók átvehetik az irányítást a rendszerek felett, és így fizikai áruk eltulajdonítására is képesek.
A támadások háttere és terjedése
A kutatók már január óta észlelik az ilyen jellegű kampányokat, amelyek során a NetSupport és ScreenConnect nevű RMM-eszközöket juttatják be rosszindulatú linkeken és e-maileken keresztül. Az aktivitás júniusban vált különösen intenzívvé, és azóta közel két tucat kampányt regisztráltak, amelyek egyenként akár ezer üzenetet is képesek kiküldeni.
Elsősorban Észak-Amerikai cégek a célpontok, de hasonló támadásokat figyeltek meg Brazíliában, Mexikóban, Indiában, Németországban, Chilében és Dél-Afrikában is.
Az árurablás digitális dimenziója
Az árurablás hagyományosan a teherautók vagy utánfutók eltérítését jelenti úton, vagy hamis fuvarozóként történő fellépést, amely során az árut csalárd átvételi pontokra irányítják át. Az Egyesült Államokban az éves veszteség eléri a 35 milliárd dollárt a Nemzeti Biztosítási Bűnügyi Hivatal (NICB) becslése szerint.
Napjainkban azonban a bűnözők egyre inkább kihasználják a szállítmányozási lánc digitalizációjának réseit. A céljuk, hogy olyan RMM-eszközöket telepítsenek a cégek rendszereire, mint például a ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able vagy LogMeIn Resolve. Ezekkel teljes távoli hozzáférést kapnak az áldozatok számítógépeihez, lehetővé téve az információgyűjtést és hitelesítő adatok ellopását.
A támadási módszerek részletei
A támadók többféle technikát alkalmaznak:
- Feltört fiókok használata: Megszerzik fuvarlista-fiókok hozzáférését hamis szállítmányok feladásához.
- E-mail fiókok feltörése: Bróker- és diszpécser e-maileket törnek fel, majd az e-mail kommunikációt eltérítve rosszindulatú linkeket küldenek.
- Személyre szabott social engineering: Az üzeneteket úgy alakítják ki, hogy sürgős fuvarozási tárgyalásokról szólnak, ezáltal bizalmat keltenek az áldozatokban.
A külső weboldalak professzionálisan kidolgozottak, hitelesnek tűnnek a fuvarozók arculati elemeivel. Ezekről letölthető futtatható (.exe) vagy telepítő (.msi) fájlok telepítenek RMM-eszközöket a gépekre.
Milyen károkat okoznak az RMM-eszközök?
Az ilyen eszközök segítségével a támadók:
- Módosíthatják a fuvarfoglalásokat;
- Blokkolhatják a diszpécserek értesítéseit;
- Saját eszközeiket hozzáadhatják a diszpécser telefonkiterjesztéseihez;
- Fuvarokat foglalhatnak le az áldozat cégének nevében;
- Hitelesítő adatokat gyűjthetnek be speciális eszközökkel (pl. WebBrowserPassView).
Például a PDQ Connect gyakran egyszerre telepíti a ScreenConnectet és SimpleHelpet is.
A támadók motivációja és együttműködése szervezett bűnözői csoportokkal
A Proofpoint kutatói szerint ezek az akciók belső ismeretekre épülnek – tudják például az útvonalakat, időzítéseket és értékes árutípusokat –, így kiválaszthatják a legjövedelmezőbb szállítmányokat. Úgy vélik, hogy a hackerek szervezett bűnözői csoportokkal dolgoznak együtt annak érdekében, hogy sikeresen eltérítsék az árukat.
Esettanulmány: Egy fuvarozó cég tapasztalatai
Egy érintett vállalat elmondása szerint a támadók megtévesztették diszpécserüket egy RMM-eszköz telepítésére. Ezután teljes irányítást szereztek az e-mail fiók felett:
- Törölték minden foglalási e-mailt;
- Blokkolták az értesítéseket;
- Saját eszközüket hozzáadták a diszpécser telefonkiterjesztéséhez;
- A cég hivatalos MC e-mail címét és telefonszámát használták fuvarfoglaláshoz;
- Brokerek közvetlenül velük kommunikáltak anélkül, hogy gyanút fogtak volna.
A lopott áruk között élelmiszer, italok és elektronikai termékek szerepelnek, amelyeket fizikailag elfogtak vagy átirányítottak, majd online értékesítettek vagy külföldre szállítottak.
Kiegészítő rosszindulatú szoftverek
Bár főként RMM-eszközöket használnak ezekben a támadásokban, megfigyeltek más információlopó programokat is (például NetSupport, DanaBot, Lumma Stealer vagy StealC). Ezek azonban nem köthetők egyértelműen konkrét támadói csoportokhoz.
Hogyan védekezhetünk?
- Korlátozza az engedély nélküli RMM-eszközök telepítését!
- Folyamatosan figyelje hálózati aktivitását!
- Email-gateway-en blokkolja az .EXE és .MSI fájl mellékleteket!
- Képzze munkatársait a social engineering technikák felismerésére!
- Használjon többlépcsős hitelesítést minden kritikus fióknál!
- Rendszeresen frissítse biztonsági protokolljait és szoftvereit!
A jövő kihívásai: MCP protokoll és LLM-ek biztonsága
Az MCP (Model Context Protocol) egyre inkább szabvánnyá válik az LLM-ek (nagy nyelvi modellek) eszközökhöz és adatokhoz való kapcsolódásában. A biztonsági csapatok gyorsan dolgoznak azon, hogy ezeket az új szolgáltatásokat is biztonságossá tegyék.
Ha szeretné naprakészen tartani védelmi stratégiáját, töltse le ingyenes összefoglalónkat 7 legjobb gyakorlattal!