Wojna szpiegów: cyberprzestępcy kradną sobie ofiary
2017-10-12 10:46
Ataki cyberprzestępcze © fot. mat. prasowe
Przeczytaj także: Uwaga na fałszywe maile od KRD
Przypomnijmy, podstawą dogłębnej analizy zagrożeń jest identyfikacja narzędzi i standardów, dzięki czemu możliwe staje się wskazanie, z którym dokładnie ugrupowaniem cyberprzestępczym mamy do czynienia. Ta wiedza pozwala ekspertom dokładniej mapować zamiary, cel oraz zachowania różnych grup hakerskich i szacować generowane przez nie ryzyko. W sytuacji jednak, gdy cyberprzestępczy półświatek zaczyna hakować własne środowisko, przejmować swoje narzędzia, a nawet wykradać ofiary, model ten ulega załamaniu.Zdaniem specjalistów Kaspersky Lab, za tego rodzaju atakami stoją na najprawdopodobniej cyberprzestępcy mający swoje zaplecze w rządach, a głównym celem są zagraniczne lub mniej kompetentne ugrupowania. Ważne jest, aby badacze bezpieczeństwa IT nauczyli się, jak dostrzegać i interpretować oznaki takich ataków, aby móc prezentować swoje analizy w odpowiednim kontekście.
W szczegółowym przeglądzie możliwości przeprowadzania tego rodzaju ataków badacze z zespołu GReAT zidentyfikowali dwa główne podejścia: bierne i aktywne. Ataki bierne polegają na przechwytywaniu danych innych ugrupowań „w ruchu”, np. podczas ich przepływu między ofiarami a serwerami kontroli — i są niemal niemożliwe do wykrycia. Z kolei podejście aktywne polega na infiltrowaniu infrastruktury innego ugrupowania cyberprzestępczego.
Z podejściem aktywnym wiąże się większe ryzyko wykrycia, ale z drugiej strony oferuje ono więcej korzyści, ponieważ pozwala atakującym regularnie uzyskiwać informacje, monitorować cel swoich ataków i jego ofiary, a nawet umieszczać własne szkodliwe moduły lub przeprowadzać ataki „w imieniu” innego ugrupowania (i w efekcie państwa). Sukces działań aktywnych w dużej mierze zależy od błędów popełnionych przez atakowane ugrupowanie w zakresie bezpieczeństwa operacyjnego.
Zespół GReAT odkrył wiele nietypowych i nieoczekiwanych artefaktów podczas prowadzenia dochodzeń dotyczących określonych ugrupowań cyberprzestępczych, które sugerują, że omawiane aktywne ataki mają już miejsce od jakiegoś czasu. Poniżej zamieszczono kilka przykładów.
1. Tylne furtki instalowane w infrastrukturze kontroli innego podmiotu
Zainstalowanie szkodliwego programu dającego zdalny dostęp (tzw. backdoor) w zhakowanej sieci gwarantuje atakującym długotrwałą obecność wewnątrz operacji innego ugrupowania. Badacze z Kaspersky Lab zidentyfikowali dwa przykłady takich backdoorów wykorzystanych w faktycznych atakach.
fot. mat. prasowe
Ataki cyberprzestępcze
Jeden z nich został wykryty w 2013 r. podczas analizy serwera wykorzystanego w ramach NetTraveler, chińskojęzycznej kampanii wymierzonej przeciwko aktywistom i organizacjom w Azji. Drugi został zidentyfikowany w 2014 r. podczas badania zhakowanej strony internetowej wykorzystywanej przez Crouching Yeti — rosyjskojęzyczne ugrupowanie atakujące sektor przemysłowy od 2010 r. (znane również jako Energetic Bear). Badacze zauważyli, że przez krótki czas panel zarządzający siecią cyberprzestępczą został zmodyfikowany przy użyciu znacznika, który wskazywał na zdalny adres IP w Chinach (prawdopodobnie była to tzw. fałszywa bandera mająca na celu zmylenie organów ścigania i analityków). Badacze uważają, że również w tym przypadku zastosowano backdoora należącego do innego ugrupowania przestępczego, chociaż nie ma żadnych wskazówek umożliwiających zidentyfikowanie go.
2. Współdzielenie zhakowanych stron internetowych
W 2016 r. badacze z Kaspersky Lab odkryli, że strona internetowa zhakowana przez koreańskojęzyczne ugrupowanie DarkHotel obejmowała również skrypty innego ugrupowania, ScarCruft, stosującego ataki ukierunkowane wycelowane głównie w organizacje rosyjskie, chińskie oraz południowokoreańskie. Operacja DarkHotel miała miejsce w kwietniu 2016 r., natomiast ataki ScarCruft zostały przeprowadzone miesiąc później, co sugeruje, że ScarCruft mógł zaobserwować ataki DarkHotel przed rozpoczęciem własnych.
3. Ataki przez pośrednika
Infiltracja ugrupowania o ugruntowanej pozycji w określonym regionie lub sektorze przemysłowym umożliwia atakującym zmniejszenie kosztów i większe sprecyzowanie ataków dzięki specjalistycznej wiedzy swojej ofiary.
Niektóre ugrupowania cyberprzestępcze zamiast podkradać sobie ofiary, dzielą się nimi. Jest to ryzykowane podejście w sytuacji, gdy jedno z ugrupowań jest mniej zaawansowane i zostanie złapane, ponieważ nieunikniona analiza kryminalistyczna, jaka zostanie przeprowadzona, ujawni również pozostałych intruzów. W listopadzie 2014 r. Kaspersky Lab poinformował, że serwer należący do instytucji badawczej na Bliskim Wschodzie, znanej pod nazwą Magnet of Threats, przechowywał jednocześnie szkodliwe moduły dla wysoce zaawansowanych ugrupowań cyberprzestępczych Regin oraz Equation (angielskojęzyczne), Turla i ItaDuke (rosyjskojęzyczne), jak również Animal Farm (francuskojęzyczne) oraz Careto/The Mask (hiszpańskojęzyczne). W rzeczywistości analiza tego serwera zapoczątkowała wykrycie grupy Equation.
Przypisanie autorstwa zawsze jest trudne, ponieważ wskazówek zwykle jest bardzo mało i łatwo można nimi manipulować, a dodatkowo trzeba jeszcze uwzględnić wpływ wzajemnego atakowania się przez ugrupowania cyberprzestępcze. Jako że coraz więcej atakujących wykorzystuje zestawy narzędzi swoich kolegów po fachu, ich ofiary oraz infrastrukturę, umieszcza swoje własne moduły lub przejmuje tożsamość swojej ofiary w celu przeprowadzania dalszych ataków, rodzi się pytanie o przyszłość tych, którzy polują na zagrożenia, próbując nakreślić jaśniejszy, dokładniejszy obraz sytuacji. Z zaprezentowanych tu przykładów wynika, że niektóre z tych zjawisk występują już teraz, a badacze zajmujący się analizą zagrożeń będą musieli zatrzymać się i dostosować swoje myślenie, jeśli chodzi o analizę działania zaawansowanych ugrupowań przestępczych — powiedział Juan Andres Guerrero-Saade, główny badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
Kaspersky Lab zaleca przedsiębiorstwom, które chcą dotrzymać kroku szybko ewoluującemu krajobrazowi zagrożeń, aby wdrożyły pełną platformę bezpieczeństwa w połączeniu z zaawansowaną analizą zagrożeń. Portfolio firmy Kaspersky Lab obejmujące rozwiązania bezpieczeństwa dla przedsiębiorstw oferuje firmom zapobieganie zagrożeniom za pomocą pakietu bezpieczeństwa punktów końcowych nowej generacji, wykrywanie oparte na platformie Kaspersky Anti Targeted Attack, jak również przewidywanie i reagowanie na incydenty za pośrednictwem usług zaawansowanej analizy zagrożeń.
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (1)
-
Konto usunięte / 2017-10-12 15:04:43
W tym artykule znana firma Kaspersky Lab ostrzega przed backdoorami i słusznie. Natomiast pojawia się szereg informacji, że ich oprogramowanie również może być niebezpieczne. Przykład artykułu poniżej.
Co Państwo o tym sądzą?
http://wgospodarce.pl/informacje/41399-prasa-kaspersky-lab-okradl-rzad-usa [ odpowiedz ] [ cytuj ]