Wojny szpiegów: jak ugrupowania cyberprzestępcze wspierane przez rządy okradają i naśladują siebie nawzajem

04-10-2017
|
Dodał: Piotr Kupczyk
Wojny szpiegów: jak ugrupowania cyberprzestępcze wspierane przez rządy okradają i naśladują siebie nawzajem
źródło:
Zaawansowani cyberprzestępcy aktywnie przeprowadzają ataki na inne ugrupowania w celu kradzieży danych ofiar, „pożyczania” narzędzi i technik oraz ponownego wykorzystywania cudzej infrastruktury.

Według zespołu GReAT z Kaspersky Lab jeszcze bardziej utrudnia to badaczom bezpieczeństwa dokładną analizę zagrożeń.

Dokładna analiza zagrożeń opiera się na identyfikacji schematów i narzędzi wskazujących na określone ugrupowanie cyberprzestępcze. Wiedza ta umożliwia badaczom lepsze mapowanie intencji, celów i zachowania różnych ugrupowań cyberprzestępczych i pomaga organizacjom określić swój poziom ryzyka. W momencie, gdy przestępcy zaczynają hakować się nawzajem i przejmować swoje narzędzia, infrastrukturę, a nawet ofiary, model ten szybko zaczyna się załamywać.        

Kaspersky Lab uważa, że takie ataki są prawdopodobnie przeprowadzane głównie przez cyberprzestępców wspieranych przez rządy, a ich celem są zagraniczne lub mniej kompetentne ugrupowania. Ważne jest, aby badacze bezpieczeństwa IT nauczyli się, jak dostrzegać i interpretować oznaki takich ataków, aby móc prezentować swoje analizy w odpowiednim kontekście. 

W szczegółowym przeglądzie możliwości przeprowadzania tego rodzaju ataków badacze z zespołu GReAT zidentyfikowali dwa główne podejścia: bierne i aktywne. Ataki bierne polegają na przechwytywaniu danych innych ugrupowań „w ruchu”, np. podczas ich przepływu między ofiarami a serwerami kontroli — i są niemal niemożliwe do wykrycia. Z kolei podejście aktywne polega na infiltrowaniu infrastruktury innego ugrupowania cyberprzestępczego. 

Z podejściem aktywnym wiąże się większe ryzyko wykrycia, ale z drugiej strony oferuje ono więcej korzyści, ponieważ pozwala atakującym regularnie uzyskiwać informacje, monitorować cel swoich ataków i jego ofiary, a nawet umieszczać własne szkodliwe moduły lub przeprowadzać ataki „w imieniu” innego ugrupowania (i w efekcie państwa). Sukces działań aktywnych w dużej mierze zależy od błędów popełnionych przez atakowane ugrupowanie w zakresie bezpieczeństwa operacyjnego.  

Zespół GReAT odkrył wiele nietypowych i nieoczekiwanych artefaktów podczas prowadzenia dochodzeń dotyczących określonych ugrupowań cyberprzestępczych, które sugerują, że omawiane aktywne ataki mają już miejsce od jakiegoś czasu. Poniżej zamieszczono kilka przykładów.

 

 

  1. 1.    Tylne furtki instalowane w infrastrukturze kontroli innego podmiotu

Zainstalowanie szkodliwego programu dającego zdalny dostęp (tzw. backdoor) w zhakowanej sieci gwarantuje atakującym długotrwałą obecność wewnątrz operacji innego ugrupowania. Badacze z Kaspersky Lab zidentyfikowali dwa przykłady takich backdoorów wykorzystanych w faktycznych atakach.

Jeden z nich został wykryty w 2013 r. podczas analizy serwera wykorzystanego w ramach NetTraveler, chińskojęzycznej kampanii wymierzonej przeciwko aktywistom i organizacjom w Azji. Drugi został zidentyfikowany w 2014 r. podczas badania zhakowanej strony internetowej wykorzystywanej przez Crouching Yeti — rosyjskojęzyczne ugrupowanie atakujące sektor przemysłowy od 2010 r. (znane również jako Energetic Bear). Badacze zauważyli, że przez krótki czas panel zarządzający siecią cyberprzestępczą został zmodyfikowany przy użyciu znacznika, który wskazywał na zdalny adres IP w Chinach (prawdopodobnie była to tzw. fałszywa bandera mająca na celu zmylenie organów ścigania i analityków). Badacze uważają, że również w tym przypadku zastosowano backdoora należącego do innego ugrupowania przestępczego, chociaż nie ma żadnych wskazówek umożliwiających zidentyfikowanie go.      

  1. 2.    Współdzielenie zhakowanych stron internetowych

W 2016 r. badacze z Kaspersky Lab odkryli, że strona internetowa zhakowana przez koreańskojęzyczne ugrupowanie DarkHotel obejmowała również skrypty innego ugrupowania, ScarCruft, stosującego ataki ukierunkowane wycelowane głównie w organizacje rosyjskie, chińskie oraz południowokoreańskie. Operacja DarkHotel miała miejsce w kwietniu 2016 r., natomiast ataki ScarCruft zostały przeprowadzone miesiąc później, co sugeruje, że ScarCruft mógł zaobserwować ataki DarkHotel przed rozpoczęciem własnych.       

  1. 3.    Ataki przez pośrednika

Infiltracja ugrupowania o ugruntowanej pozycji w określonym regionie lub sektorze przemysłowym umożliwia atakującym zmniejszenie kosztów i większe sprecyzowanie ataków dzięki specjalistycznej wiedzy swojej ofiary.

Niektóre ugrupowania cyberprzestępcze zamiast podkradać sobie ofiary, dzielą się nimi. Jest to ryzykowane podejście w sytuacji, gdy jedno z ugrupowań jest mniej zaawansowane i zostanie złapane, ponieważ nieunikniona analiza kryminalistyczna, jaka zostanie przeprowadzona, ujawni również pozostałych intruzów. W listopadzie 2014 r. Kaspersky Lab poinformował, że serwer należący do instytucji badawczej na Bliskim Wschodzie, znanej pod nazwą Magnet of Threats, przechowywał jednocześnie szkodliwe moduły dla wysoce zaawansowanych ugrupowań cyberprzestępczych Regin oraz Equation (angielskojęzyczne), Turla i ItaDuke (rosyjskojęzyczne), jak również Animal Farm (francuskojęzyczne) oraz Careto/The Mask (hiszpańskojęzyczne). W rzeczywistości analiza tego serwera zapoczątkowała wykrycie grupy Equation.     

Przypisanie autorstwa zawsze jest trudne, ponieważ wskazówek zwykle jest bardzo mało i łatwo można nimi manipulować, a dodatkowo trzeba jeszcze uwzględnić wpływ wzajemnego atakowania się przez ugrupowania cyberprzestępcze. Jako że coraz więcej atakujących wykorzystuje zestawy narzędzi swoich kolegów po fachu, ich ofiary oraz infrastrukturę, umieszcza swoje własne moduły lub przejmuje tożsamość swojej ofiary w celu przeprowadzania dalszych ataków, rodzi się pytanie o przyszłość tych, którzy polują na zagrożenia, próbując nakreślić jaśniejszy, dokładniejszy obraz sytuacji. Z zaprezentowanych tu przykładów wynika, że niektóre z tych zjawisk występują już teraz, a badacze zajmujący się analizą zagrożeń będą musieli zatrzymać się i dostosować swoje myślenie, jeśli chodzi o analizę działania zaawansowanych ugrupowań przestępczych — powiedział Juan Andres Guerrero-Saade, główny badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab. 

Kaspersky Lab zaleca przedsiębiorstwom, które chcą dotrzymać kroku szybko ewoluującemu krajobrazowi zagrożeń, aby wdrożyły pełną platformę bezpieczeństwa w połączeniu z zaawansowaną analizą zagrożeń. Portfolio firmy Kaspersky Lab obejmujące rozwiązania bezpieczeństwa dla przedsiębiorstw oferuje firmom zapobieganie zagrożeniom za pomocą pakietu bezpieczeństwa punktów końcowych nowej generacji, wykrywanie oparte na platformie Kaspersky Anti Targeted Attack, jak również przewidywanie i reagowanie na incydenty za pośrednictwem usług zaawansowanej analizy zagrożeń.     

Dalsze szczegóły dotyczące sposobów uzyskiwania i ponownego wykorzystywania przez ugrupowania cyberszpiegowskie elementów innych atakujących znajdują się na stronie http://r.kaspersky.pl/v8Pq4.  

Więcej informacji na temat prywatnych raportów analitycznych Kaspersky Lab można uzyskać pisząc na adres: intelreports@kaspersky.com.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.

InSilesia.pl Graviteo Encja.com inwroc.pl inNews.pl
Innowacyjna Gospodarka Europejski Fundusz Rozwoju Regionu