Хакери ја злоупотребуваат далечинската опрема за да преземат товарен транспорт

Истражувачите открија нова заканувачка кампања во која напаѓачите користат алатки за далечинско следење и управување (RMM) за да крадат физички товар од синџирот на снабдување.

Заканавачите ја користат RMM-технологијата за да компромитираат транспортни и товарни компании, со цел да украдат физички товар.

Според истражувачите од Proofpoint, кои денес објавија истражување за тоа како неименувани напаѓачи ги компромитираат транспортните компании за да понудат на товарните испораки пред да ги украдат. Хакерите потоа го испраќаат овој товар во странство или го продаваат онлајн, во соработка со организирани криминални групи.

Од најмалку јуни 2025 година, и можеби и порано, напаѓачите компромитирале сметка на брокерска платформа за товарни нарачки, кои се користат за закажување товар за транспортни компании. Потоа тие објавувале лажни огласи за товар и испраќале фишинг линкови до транспортните компании кои реагирале. Откако успешно извршиле фишинг, напаѓачите инсталирале алатки за далечински пристап, понудувале на реални товарни нарачки за транспорт и подоцна го пресретнувале товарот од тие реални работи.

Бидејќи кражбата на товар предизвикува проценети загуби од 35 милијарди долари годишно, овој вид на напад претставува ризик за синџирот на снабдување што не е вообичаен во истражувањата за сајбер безбедност. Сепак, тоа не значи дека е непознато; Proofpoint објави истражување за слична кампања во септември 2024 година, иако безбедносниот продавец не можеше да ги поврзе напаѓачите од тие напади со овој нов кластер.

Како хакерите ги хакираат транспортните компании

Во оваа кампања, напаѓачите користеа низа RMM алатки за да ги компромитираат жртвите, вклучувајќи ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N‑able и LogMeIn Resolve. Иако не сите алатки беа користени во секој поединечен напад, Proofpoint изјави дека во некои напади се користеле повеќе алатки заедно (на пример, користење на PDQ Connect за симнување на ScreenConnect и SimpleHelp).

Хакерите доаѓале до оваа фаза преку повеќе средства. Покрај стекнувањето на сметки на load board-ови, напаѓачите компромитирале е-пошта и преземале тековни нишки со злонамерни линкови. Понекогаш, напаѓачите едноставно ги таргетирале превозниците преку директни фишинг кампањи.

Генерално, оваа група не е пребирлива во изборот на мети.

„Според кампањите набљудувани од Proofpoint, акторот на закана не изгледа дека напаѓа специфични компании, и метите варираат од мали, семејни претпријатија до големи транспортни фирми,“ стои во извештајот. „Акторот на закана изгледа дека е опортунистички настроен кон превозниците што ги таргетира и веројатно ќе се обиде да компромитира секој превозник кој ќе одговори на лажното огласување за товар.“ Откако ќе обезбедат првичен засек, акторот на закана спроведува дополнително разузнавање со цел продлабочување на пристапот во таргетираните средини. Крајната цел е да се компромитира легитимен превозник и, како што објаснува Proofpoint, „идентификување и понудување за товари кои веројатно ќе бидат профитабилни доколку бидат украдени.“

Оле Виладсен, стручњак за закани во Proofpoint и коавтор на извештајот, за Dark Reading вели дека товарот физички се краде на неколку различни начини. Кога хакерите злонамерно ја преземаат сопственоста на товара, понекогаш возачите директно соработуваат со криминалците. Понекогаш, криминалците користат техника позната како „double brokering“ (двојно препродажување), каде товарот се препродажува на легитимна транспортна компанија која верува дека ја превезува стоката легитимно.

„Во сите случаи, овие операции бараат физичко присуство на луѓе за да се дојде до стоката, и стоката ќе биде доставена на локација или магацин контролирани од криминалците,“ вели Виладсен. „Исто така сме набљудувале други видови кибер-поддржани кражби на физички стоки каде крадците ќе нарачаат или организираат испорака на стоката до магацини или локации сопственост на курири/‘муле’ за да ја земат стоката и потоа да ја препродадат или понатаму да ја испратат во странство.“

Закана за безбедноста на синџирот на снабдување

Во време кога глобалниот синџир на снабдување е постојано под притисок поради геополитички, економски и технолошки причини, секоја дополнителна закана за неговата стабилност заслужува внимание.

Dark Reading прашаа Proofpoint за обемот на заканата што кибер-поддржаната кражба на товар ја претставува за синџирот на снабдување. Селена Ларсон, стручњак за закани во Proofpoint и коавтор на извештајот, објаснува дека иако фирмата нема точни бројки, „нејзините ефекти се широко распространети и деструктивни низ целиот синџир на транспорт на стоки.“

„Кибернападите насочени кон транспортните компании можат да го прекинат поединечниот транспорт на стоки, што доведува до зголемени трошоци за превозниците, а истовремено одложувајќи ја испораката на стоки и услуги,“ вели Ларсон. „Овие нарушувања често резултираат со осигурителни барања, што може да ги зголеми премиите — трошоци што на крајот се пренесуваат на потрошувачите. Покрај финансиските последици, кражбата овозможена преку кибернапади ја разградува довербата во синџирот на снабдување, бидејќи организациите можеби ќе се воздржат од соработка со партнери кои биле компромитирани.“

Proofpoint предлага организациите изложени на ризик од кражба на товар да го разгледаат Националниот Рамковен Протокол за Намалување на Кражба на Товар на National Motor Freight Traffic Association.

За сите организации кои се обидуваат да се борат против злоупотребата на RMM алатки, Proofpoint препорачува да се ограничи симнувањето и инсталирањето на RMM алатки што не се одобрени од ИТ-администраторите на организацијата, да се спроведат детекции на мрежата, да се избегнува симнување извршни датотеки испратени преку е-пошта од надворешни испраќачи, и да се обучуваат корисниците да препознаваат и пријавуваат сомнителни активности.

Извори:

• Darkreading – „Hackers Weaponize Remote Tools to Hijack Cargo Freight“ Darkreading