SECURITY REPORT T.115

56 | SECURITY REPORT Ιούνιος 2021 NEWS SPACE HELLAS: Διπλασιασμός του τζίρου μέσα σε μία οκταετία Αύξηση κατά 11,7% παρουσίασε ο ενο- ποιημένος κύκλος εργασιών της Space Hellas για το 2020 και ανήλθε στα € 80,7 εκ., έναντι € 72,3 εκ. το 2019. H Space Hellas συνεχίζοντας σταθερά την αναπτυξιακή της πορεία, ξεπερνά τα € 80 εκ. και διπλασιάζει τον τζίρο της στην οκταετία που πέρασε. Τα μεικτά κέρδη ανήλθαν σε € 16,4 εκ. το 2020 έναντι € 15,9 το 2019. Το EBITDA ανήλθε σε € 6,8 εκ. το 2020 έναντι € 6,3 εκ. το 2019. Τα κέρδη προ φόρων ανήλθαν σε € 2,2 εκ. το 2020 έναντι € 2,1 εκ. το 2019, ενώ τα κέρδη μετά φόρων παρουσίασαν αύξηση 16,09% και ανήλθαν σε 1,8 εκ. το 2020 έναντι € 1,5 εκ. το 2019.Αξιοσημείωτη είναι και η συνέχιση δημιουργίας θετικών λειτουργικών ταμειακών ροών ύψους € 5,0 εκ., οι οποίες προσαυξημένες κατά € 14,0 εκ., μέσω δανεισμού, διο- χετεύτηκαν τόσο σε επενδύσεις του ομίλου ύψους € 5,0 εκ., όσο και στην ενίσχυση της ρευστότητας, απαραίτητη για την υποστήριξη των επενδυτικών πλάνων. Για τη μητρική εταιρεία, ο κύκλος εργασιών ανήλθε στα € 78,1 εκ. το 2020 έναντι € 69,6 εκ. το 2019, ενώ τα κέρδη προ τόκων, φό- ρων και αποσβέσεων (EBITDA) ανήλθαν σε € 5,9 εκ. το 2020 έναντι € 5,3 εκ. το 2019. Τέλος, τα κέρδη προ φόρων της μητρικής για το 2020 ανήλθαν σε € 2,1 εκ. έναντι € 1,6 εκ. το 2019 και τα αντί- στοιχα αποτελέσματα μετά φόρων το 2020 ανήλθαν σε € 1,7 εκ. έναντι € 1,2 εκ. το 2019.Ο όμιλος Space Hellas, παρά τις δυσκολίες που δημιούργησε η πανδημία, συνέχισε σταθερά την αναπτυξιακή του πορεία και το 2020, πετυχαίνοντας για τέταρτη συνεχόμενη χρονιά νέο ιστορικό πωλήσεων, δημιουρ- γώντας ένα ιδιαίτερα σημαντικό ανεκτέλεστο έργων με υπογε- γραμμένες συμβάσεις και για το 2021. ESET: Η ομάδα LAZARUS επιτίθεται σε εταιρία εμπορευματικών μεταφορών στη Νότια Αφρική με ένα νέο Backdoor εταιρεία εμπορευματικών μεταφορών στη Νότια Αφρική, το οποίο ονόμα- σαν Vyveva. Οι ερευνητές έχουν αποδώσει το κα- κόβουλο λογισμικό στην περίφημη ομάδα Lazarus λόγω ομοιότητάς του με τις προηγούμενες επιχει- ρήσεις της ομάδας, καθώς και με το κακόβουλο λο- γισμικό που χρησιμοποιεί η συγκεκριμένη ομάδα. Το backdoor περιλαμβά- νει αρκετές δυνατότητες κυβερνοκατασκοπείας, όπως μεταφορά αρχείων και συλλογή πλη- ροφοριών από τον υπολογιστή στόχο και τις μονάδες δίσκου του. Το Vyveva επικοινωνεί με το διακομιστή Command & Control (C&C) μέσω του δικτύου Tor. H τηλεμετρία της ESET για το Vyveva δείχνει ότι πρόκειται για στοχευμένη κυβερνοεπίθεση, καθώς οι ερευνητές της ESET εντόπισαν μόνο δύο μηχανήματα που έχουν μολυνθεί, τα οποία είναι και τα δύο διακομιστές που ανήκουν στη συγκεκριμένη εταιρεία της Νοτίου Αφρικής. Σύμφωνα με την έρευνα της ESET, το Vyveva χρησιμοποιείται τουλάχιστον από το Δεκέμβριο του 2018. «Το Vyveva έχει πολλές ομοιότητες κώδικα με παλαιότερα προ- γράμματα της ομάδας Lazarus που εντοπίστηκαν από την τεχνολογία της ESET. Ωστόσο, οι ομοιότητες δεν σταματούν εκεί: η χρήση ενός ψεύτικου πρωτοκόλλου TLS σε επικοινωνία δικτύου, ο τρόπος εκτέ- λεσης εντολών γραμμής και η χρήση υπηρεσιών κρυπτογράφησης και του δικτύου Tor δείχνουν πως μιλάμε για την ομάδα Lazarus. Ως εκ τούτου, μπορούμε με μεγάλη σιγουριά να αποδώσουμε το κακό- βουλο λογισμικό Vyveva σε αυτήν την ομάδα APT», λέει ο ερευνητής της ESET, Filip Jurčacko, ο οποίος ανέλυσε το οπλοστάσιο της ομάδας Lazarus. Το backdoor εκτελεί τις εντολές που εκδίδονται από τους κυ- βερνοεγκληματίες, όπως λειτουργίες αρχείων και διεργασιών και συλλογή πληροφοριών. Υπάρχει επίσης μια λιγότερο συχνά εμφανιζόμενη εντολή για “file timestomping”, η οποία επιτρέπει την αντιγραφή χρονικών σημείων “timestamps” από ένα αρχείο "δωρητή" σε ένα αρχείο προορισμού ή χρήση μιας τυχαίας ημερομηνίας. Το Vyveva χρησιμοποιεί τη βιβλιοθήκη Tor για επικοινωνία με ένα διακομιστή C&C. Επικοινωνεί με τον C&C ανά διαστήματα τριών λεπτών, στέλ- νοντας πληροφορίες σχετικά με το μολυσμένο υπολογιστή και τις μονάδες δίσκου του πριν λάβει εντολές. "Ωστόσο, ιδιαίτερο ενδια- φέρον παρουσιάζουν τα watchdogs που χρησιμοποιούνται για την παρακολούθηση δίσκων που έχουν συνδεθεί πρόσφατα και που έχουν αποσυνδεθεί, και ένας session watchdog που παρακολουθεί τον αριθμό των ενεργών συνεδριών, όπως οι συνδεδεμένοι χρήστες. Αυτά τα στοιχεία μπορούν να προκαλέσουν σύνδεση με τον διακο- μιστή C&C εκτός του προκαθορισμένου διαστήματος των τριών λεπτών», εξηγεί ο Jurčacko.