piątek, 22 listopada, 2024

Nasze serwisy:

Więcej

    Ugrupowania cyberprzestępcze okradają i naśladują siebie nawzajem

    Zobacz również

    Zaawansowani cyberprzestępcy aktywnie przeprowadzają ataki na inne ugrupowania w celu kradzieży danych ofiar, „pożyczania” narzędzi i technik oraz ponownego wykorzystywania cudzej infrastruktury. Według zespołu GReAT z Kaspersky Lab jeszcze bardziej utrudnia to badaczom bezpieczeństwa dokładną analizę zagrożeń. Dokładna analiza zagrożeń opiera się na identyfikacji schematów i narzędzi wskazujących na określone ugrupowanie cyberprzestępcze.

    - Reklama -

    Wiedza ta umożliwia badaczom lepsze mapowanie intencji, celów i zachowania różnych ugrupowań cyberprzestępczych i pomaga organizacjom określić swój poziom ryzyka. W momencie, gdy przestępcy zaczynają hakować się nawzajem i przejmować swoje narzędzia, infrastrukturę, a nawet ofiary, model ten szybko zaczyna się załamywać.        

    Kaspersky Lab uważa, że takie ataki są prawdopodobnie przeprowadzane głównie przez cyberprzestępców wspieranych przez rządy, a ich celem są zagraniczne lub mniej kompetentne ugrupowania. Ważne jest, aby badacze bezpieczeństwa IT nauczyli się, jak dostrzegać i interpretować oznaki takich ataków, aby móc prezentować swoje analizy w odpowiednim kontekście.

    W szczegółowym przeglądzie możliwości przeprowadzania tego rodzaju ataków badacze z zespołu GReAT zidentyfikowali dwa główne podejścia: bierne i aktywne. Ataki bierne polegają na przechwytywaniu danych innych ugrupowań „w ruchu”, np. podczas ich przepływu między ofiarami a serwerami kontroli — i są niemal niemożliwe do wykrycia. Z kolei podejście aktywne polega na infiltrowaniu infrastruktury innego ugrupowania cyberprzestępczego.

    Z podejściem aktywnym wiąże się większe ryzyko wykrycia, ale z drugiej strony oferuje ono więcej korzyści, ponieważ pozwala atakującym regularnie uzyskiwać informacje, monitorować cel swoich ataków i jego ofiary, a nawet umieszczać własne szkodliwe moduły lub przeprowadzać ataki „w imieniu” innego ugrupowania (i w efekcie państwa). Sukces działań aktywnych w dużej mierze zależy od błędów popełnionych przez atakowane ugrupowanie w zakresie bezpieczeństwa operacyjnego.  

    Zespół GReAT odkrył wiele nietypowych i nieoczekiwanych artefaktów podczas prowadzenia dochodzeń dotyczących określonych ugrupowań cyberprzestępczych, które sugerują, że omawiane aktywne ataki mają już miejsce od jakiegoś czasu. Poniżej zamieszczono kilka przykładów.

    Tylne furtki instalowane w infrastrukturze kontroli innego podmiotu
    Zainstalowanie szkodliwego programu dającego zdalny dostęp (tzw. backdoor) w zhakowanej sieci gwarantuje atakującym długotrwałą obecność wewnątrz operacji innego ugrupowania. Badacze z Kaspersky Lab zidentyfikowali dwa przykłady takich backdoorów wykorzystanych w faktycznych atakach.

    Jeden z nich został wykryty w 2013 r. podczas analizy serwera wykorzystanego w ramach NetTraveler, chińskojęzycznej kampanii wymierzonej przeciwko aktywistom i organizacjom w Azji. Drugi został zidentyfikowany w 2014 r. podczas badania zhakowanej strony internetowej wykorzystywanej przez Crouching Yeti — rosyjskojęzyczne ugrupowanie atakujące sektor przemysłowy od 2010 r. (znane również jako Energetic Bear). Badacze zauważyli, że przez krótki czas panel zarządzający siecią cyberprzestępczą został zmodyfikowany przy użyciu znacznika, który wskazywał na zdalny adres IP w Chinach (prawdopodobnie była to tzw. fałszywa bandera mająca na celu zmylenie organów ścigania i analityków). Badacze uważają, że również w tym przypadku zastosowano backdoora należącego do innego ugrupowania przestępczego, chociaż nie ma żadnych wskazówek umożliwiających zidentyfikowanie go.      

    Współdzielenie zhakowanych stron internetowych
    W 2016 r. badacze z Kaspersky Lab odkryli, że strona internetowa zhakowana przez koreańskojęzyczne ugrupowanie DarkHotel obejmowała również skrypty innego ugrupowania, ScarCruft, stosującego ataki ukierunkowane wycelowane głównie w organizacje rosyjskie, chińskie oraz południowokoreańskie. Operacja DarkHotel miała miejsce w kwietniu 2016 r., natomiast ataki ScarCruft zostały przeprowadzone miesiąc później, co sugeruje, że ScarCruft mógł zaobserwować ataki DarkHotel przed rozpoczęciem własnych.       

    Ataki przez pośrednika
    Infiltracja ugrupowania o ugruntowanej pozycji w określonym regionie lub sektorze przemysłowym umożliwia atakującym zmniejszenie kosztów i większe sprecyzowanie ataków dzięki specjalistycznej wiedzy swojej ofiary.

    Niektóre ugrupowania cyberprzestępcze zamiast podkradać sobie ofiary, dzielą się nimi. Jest to ryzykowane podejście w sytuacji, gdy jedno z ugrupowań jest mniej zaawansowane i zostanie złapane, ponieważ nieunikniona analiza kryminalistyczna, jaka zostanie przeprowadzona, ujawni również pozostałych intruzów. W listopadzie 2014 r. Kaspersky Lab poinformował, że serwer należący do instytucji badawczej na Bliskim Wschodzie, znanej pod nazwą Magnet of Threats, przechowywał jednocześnie szkodliwe moduły dla wysoce zaawansowanych ugrupowań cyberprzestępczych Regin oraz Equation (angielskojęzyczne), Turla i ItaDuke (rosyjskojęzyczne), jak również Animal Farm (francuskojęzyczne) oraz Careto/The Mask (hiszpańskojęzyczne). W rzeczywistości analiza tego serwera zapoczątkowała wykrycie grupy Equation.     

    – Przypisanie autorstwa zawsze jest trudne, ponieważ wskazówek zwykle jest bardzo mało i łatwo można nimi manipulować, a dodatkowo trzeba jeszcze uwzględnić wpływ wzajemnego atakowania się przez ugrupowania cyberprzestępcze. Jako że coraz więcej atakujących wykorzystuje zestawy narzędzi swoich kolegów po fachu, ich ofiary oraz infrastrukturę, umieszcza swoje własne moduły lub przejmuje tożsamość swojej ofiary w celu przeprowadzania dalszych ataków, rodzi się pytanie o przyszłość tych, którzy polują na zagrożenia, próbując nakreślić jaśniejszy, dokładniejszy obraz sytuacji. Z zaprezentowanych tu przykładów wynika, że niektóre z tych zjawisk występują już teraz, a badacze zajmujący się analizą zagrożeń będą musieli zatrzymać się i dostosować swoje myślenie, jeśli chodzi o analizę działania zaawansowanych ugrupowań przestępczych — powiedział Juan Andres Guerrero-Saade, główny badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.

    Kaspersky Lab zaleca przedsiębiorstwom, które chcą dotrzymać kroku szybko ewoluującemu krajobrazowi zagrożeń, aby wdrożyły pełną platformę bezpieczeństwa w połączeniu z zaawansowaną analizą zagrożeń. Portfolio firmy Kaspersky Lab obejmujące rozwiązania bezpieczeństwa dla przedsiębiorstw oferuje firmom zapobieganie zagrożeniom za pomocą pakietu bezpieczeństwa punktów końcowych nowej generacji, wykrywanie oparte na platformie Kaspersky Anti Targeted Attack, jak również przewidywanie i reagowanie na incydenty za pośrednictwem usług zaawansowanej analizy zagrożeń.    

    ŹródłoKaspersky Lab
    guest
    0 komentarzy
    najnowszy
    najstarszy oceniany
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    OPPO Find X8 Pro debiutuje w Europie, a wraz z nim ColorOS 15

    OPPO oficjalnie zaprezentowało najnowsze modele z flagowej serii Find – OPPO Find X8 oraz OPPO Find X8 Pro. Model...