- Μια νέα ομάδα κυβερνοκατασκοπείας (UNC6619) έχει στοχεύσει κυβερνητικές υπηρεσίες και κρίσιμες υποδομές σε 37 χώρες, συμπεριλαμβανομένης της Ελλάδας και της Γερμανίας.
- Οι επιτιθέμενοι χρησιμοποιούν έναν συνδυασμό Phishing και γνωστών κενών ασφαλείας (exploits) για να αποκτήσουν μόνιμη πρόσβαση σε συστήματα.
- Η ομάδα, που φέρεται να έχει ασιατική προέλευση και κρατική υποστήριξη, δραστηριοποιείται έντονα στην Ευρώπη τα τελευταία δύο χρόνια.
Μυστηριώδεις κατάσκοποι διεισδύουν σε υποδομές 37 χωρών
Οι κυβερνοκατάσκοποι έχουν βάλει στο στόχαστρο, μεταξύ άλλων, τη Γερμανία και άλλες χώρες της ΕΕ — με κύριο στόχο τις αρχές και τις κρίσιμες υποδομές τους.
Ερευνητές ασφαλείας της Unit 42 της Palo Alto Networks αποκάλυψαν μια άγνωστη μέχρι πρότινος εκστρατεία κατασκοπείας.
Σύμφωνα με δημοσίευση στο blog των ερευνητών, μια ομάδα ασιατικής προέλευσης, στο πλαίσιο της εκστρατείας που ονομάζεται “Shadow Campaigns”, φέρεται να έχει παραβιάσει αρχές και κρίσιμες υποδομές σε 37 διαφορετικές χώρες — συμπεριλαμβανομένης της Γερμανίας και άλλων χωρών της ΕΕ.
Η ομάδα χαρακτηρίζεται ως “κρατικά υποστηριζόμενη” (state-sponsored), γεγονός που υποδηλώνει υψηλό επίπεδο πόρων και εξελιγμένες τακτικές απόκρυψης.
Η ομάδα κατασκοπείας αναφέρεται στην έκθεση ως TGR-STA-1030 ή UNC6619. Πρόκειται για μια κρατικά υποστηριζόμενη ομάδα χάκερ που είναι ενεργή τουλάχιστον τα τελευταία δύο χρόνια.
Βάσει των εργαλείων, των υποδομών, των γλωσσικών προτιμήσεων και των ωρών δραστηριότητας που χρησιμοποιήθηκαν, η Unit 42 αποδίδει στην ομάδα ασιατική προέλευση, χωρίς ωστόσο να κατονομάζει συγκεκριμένη χώρα προέλευσης.
Σύμφωνα με τους ερευνητές, οι κυβερνοκατάσκοποι έχουν παραβιάσει, μεταξύ άλλων, συστήματα πληροφορικής εθνικών αρχών στους τομείς των οικονομικών, της ενέργειας, της αστυνομίας, της δικαιοσύνης, της μετανάστευσης και του ελέγχου συνόρων, καθώς και άλλων κρατικών φορέων που ασχολούνται, για παράδειγμα, με την οικονομία, το εμπόριο, τους φυσικούς πόρους και τις διπλωματικές υποθέσεις.
Σε ορισμένες περιπτώσεις, φέρεται να έχουν επηρεαστεί και εταιρείες τηλεπικοινωνιών.
Δραστηριότητες κατασκοπείας σε όλα τα μέρη του κόσμου
Μόνο κατά τους μήνες Νοέμβριο και Δεκέμβριο του 2025, η UNC6619 φέρεται να ανίχνευσε κρατικές υποδομές 155 χωρών. Σε τουλάχιστον 70 οργανισμούς από 37 χώρες, σημειώθηκε παραβίαση κατά το προηγούμενο έτος.
Κανένα μέρος του πλανήτη δεν έμεινε ανέπαφο: Είτε πρόκειται για την Ευρώπη, την Ασία, την Αμερική ή την Ωκεανία, παντού υπήρξαν επιτυχημένες ψηφιακές εισβολές από τους κυβερνοκατασκόπους, σύμφωνα με την έκθεση.
Ειδικά η Ευρώπη βρέθηκε πρόσφατα στο επίκεντρο των επιτιθέμενων. Στη Γερμανία, η ομάδα φέρεται να δημιούργησε συνδέσεις με κρατικές υποδομές πίσω από περισσότερες από 490 διευθύνσεις IP.
Σε αυτές προστίθενται απόπειρες σύνδεσης σε πάνω από 600 διευθύνσεις IP που αποδόθηκαν σε υποδομές της ΕΕ.
Ωστόσο, οι ερευνητές παρατήρησαν αντίστοιχες δραστηριότητες και σε άλλες χώρες της ΕΕ, όπως η Τσεχία, η Ελλάδα, η Ιταλία, η Πολωνία και η Πορτογαλία.
Στοχευμένοι Τομείς και Περιοχές
| Τομέας Στόχευσης | Επηρεαζόμενες Περιοχές (Δείγμα) |
|---|---|
| Οικονομικά & Ενέργεια | Παγκοσμίως (Έμφαση σε ΕΕ) |
| Δικαιοσύνη & Αστυνομία | Γερμανία, Ιταλία, Πολωνία |
| Μετανάστευση & Σύνορα | Ελλάδα, Πορτογαλία, Τσεχία |
| Τηλεπικοινωνίες | Ασία, Αμερική, Ωκεανία |
Οι επιτιθέμενοι χρησιμοποιούν κάθε μέσο
Κατά τη διείσδυση στα στοχευμένα συστήματα, οι κυβερνοκατάσκοποι βασίζονται, σύμφωνα με τη Unit 42, σε ένα μείγμα Phishing και εκμετάλλευσης κενών ασφαλείας.
Στόχος είναι κάθε φορά η εισαγωγή κακόβουλου λογισμικού (malware) και η εξασφάλιση μόνιμης πρόσβασης.
Η ομάδα χρησιμοποιεί μια ευρεία γκάμα εργαλείων και exploit-kits και εκμεταλλεύεται γνωστές ευπάθειες σε προϊόντα των Microsoft, SAP, D-Link και πολλών άλλων κατασκευαστών.
Η χρήση “γνωστών ευπαθειών” υπογραμμίζει τη σημασία των άμεσων ενημερώσεων (updates). Πολλές επιθέσεις θα μπορούσαν να αποφευχθούν αν τα συστήματα ήταν ενημερωμένα.
Οι επηρεαζόμενοι οργανισμοί ενημερώθηκαν, σύμφωνα με τις αναφορές, από την Palo Alto Networks. Οι διαχειριστές συστημάτων μπορούν να βρουν στην ανάρτηση των ερευνητών τεχνικές λεπτομέρειες σχετικά με τη μεθοδολογία των επιτιθέμενων, καθώς και δείκτες παραβίασης (IOCs), οι οποίοι μπορούν να βοηθήσουν στον εντοπισμό και την απόκρουση των κατασκοπευτικών επιθέσεων της UNC6619.
Η οχύρωση κρίσιμων υποδομών έναντι των APTs
Η αποκάλυψη της δράσης της ομάδας UNC6619 (ή TGR-STA-1030) φέρνει στο προσκήνιο μια ανησυχητική πραγματικότητα: οι κρατικά υποκινούμενες απειλές (Advanced Persistent Threats – APTs) δεν στοχεύουν πλέον μόνο σε στρατιωτικά μυστικά, αλλά διαβρώνουν τη λειτουργική ικανότητα ολόκληρων κρατών.
Με την Ελλάδα να βρίσκεται στη λίστα των χωρών που παρατηρήθηκε δραστηριότητα, καθίσταται επιτακτική η ανάγκη για αναθεώρηση των στρατηγικών κυβερνοασφάλειας.
1. Η σημασία της Αρχιτεκτονικής “Zero Trust”
Όπως αναφέρει η έκθεση, οι επιτιθέμενοι αποκτούν “persistent access” (μόνιμη πρόσβαση). Το παραδοσιακό μοντέλο ασφαλείας που βασίζεται στην περίμετρο (κάστρο και τάφρος) έχει αποτύχει.
Οι οργανισμοί, ειδικά αυτοί που διαχειρίζονται κρίσιμες υποδομές, πρέπει να υιοθετήσουν το μοντέλο Zero Trust. Αυτό σημαίνει:
- Κανένας χρήστης ή συσκευή δεν θεωρείται αξιόπιστος από προεπιλογή, ακόμη και αν βρίσκεται εντός του δικτύου.
- Συνεχής επαλήθευση της ταυτότητας για κάθε πρόσβαση σε δεδομένα.
- Τμηματοποίηση του δικτύου (Network Segmentation) ώστε, αν παραβιαστεί ένα σημείο (π.χ. μέσω Phishing), οι χάκερ να μην μπορούν να κινηθούν πλευρικά προς κρίσιμους servers.
2. Διαχείριση Ευπαθειών: Ο αγώνας δρόμου με τον χρόνο
Το γεγονός ότι η ομάδα UNC6619 χρησιμοποιεί γνωστές ευπάθειες σε προϊόντα όπως της Microsoft και της SAP αποδεικνύει ότι πολλές επιθέσεις είναι αποτρέψιμες. Το λεγόμενο Patch Management δεν είναι απλώς μια εργασία ρουτίνας, αλλά η πρώτη γραμμή άμυνας.
Οι οργανισμοί πρέπει να μειώσουν δραματικά τον χρόνο που μεσολαβεί από την ανακοίνωση μιας ευπάθειας (CVE) μέχρι την εφαρμογή της ενημέρωσης. Οι κρατικοί φορείς συχνά καθυστερούν λόγω γραφειοκρατίας ή φόβου για ασυμβατότητες συστημάτων, αφήνοντας ανοιχτά “παράθυρα” που οι κατάσκοποι εκμεταλλεύονται άμεσα.
Έρευνες δείχνουν ότι οι χάκερ ξεκινούν τη σάρωση για ευπάθειες μέσα σε 15 λεπτά από τη δημοσιοποίηση ενός νέου CVE. Η ταχύτητα αντίδρασης είναι κρίσιμη.
3. Η ανθρώπινη πλευρά της ασφάλειας
Δεδομένου ότι το Phishing παραμένει βασικός φορέας εισόδου, η τεχνολογία από μόνη της δεν επαρκεί.
Απαιτείται συνεχής εκπαίδευση του προσωπικού που στελεχώνει νευραλγικές θέσεις.
Οι ασκήσεις προσομοίωσης Phishing πρέπει να γίνονται τακτικά και να είναι προσαρμοσμένες στα σύγχρονα σενάρια (spear-phishing), όπου οι επιτιθέμενοι χρησιμοποιούν κοινωνική μηχανική βασισμένη σε πραγματικά δεδομένα των υπαλλήλων.
Συμπέρασμα
Η υπόθεση της UNC6619 είναι ένα καμπανάκι κινδύνου. Η κυβερνοκατασκοπεία είναι μια αόρατη απειλή με απτές συνέπειες.
Η συνεργασία μεταξύ των χωρών της ΕΕ, η άμεση ανταλλαγή πληροφοριών για απειλές (Threat Intelligence Sharing) και η επένδυση σε προληπτικά μέτρα ασφαλείας είναι ο μοναδικός δρόμος για τη διασφάλιση της ψηφιακής και εθνικής κυριαρχίας.
