Cum se fură și se copiază între ele grupurile de atacatori susținute la nivel statal
Posted by
Informațiile exacte despre amenințări se bazează pe identificarea unor modele și instrumente specifice unui anumit autor. Asemenea cunoștințe le permit cercetătorilor să identifice mai bine scopurile infractorilor, țintele și comportamentele și să ajute organizațiile să determine nivelul lor de risc. Atunci când autorii încep să se atace unul pe altul și să preia controlul instrumentelor, al infrastructurii și chiar al victimelor, acest model începe să se clatine. Kaspersky Lab crede că aceste atacuri sunt, cel mai probabil, realizate de grupuri de atacatori sprijinite la nivel statal, care țintesc entități străine sau mai puțin pregătite. Este important ca cercetătorii din domeniul securității IT să învețe cum să identifice și să interpreteze semnalele acestor atacuri, astfel încât să poată să pună informațiile în context. Examinând în detaliu aceste atacuri, cercetătorii GReAT au identificat două abordări principale: pasivă și activă. Atacurile pasive implică interceptarea în tranzit a datelor altor grupuri, de exemplu atunci când circulă între victime și serverele de comandă și control. Acestea sunt aproape imposibil de detectat. O abordare activă implică infiltrarea în infrastructura altui autor. Există un risc mai mare de detecție în cazul abordării active, dar are și avantaje, pentru că îi permite atacatorului să extragă informații în mod constant, să își monitorizeze ținta și victimele, și, eventual, să insereze propriile mostre sau să facă atacuri în numele victimelor. Succesul atacurilor active depinde de o țintă care să facă greșeli de securitate operațională. Echipa GReAT a identificat o serie de artefacte ieșite din comun, de-a lungul investigării anumitor grupări, ceea ce sugerează faptul că atacurile active sunt deja o realitate. Exemplele includ: 1. Backdoor-uri instalate în infrastructura de comandă și control a altei entități (C&C) Instalarea unui backdoor într-o rețea controlată le permite atacatorilor să rămână o perioadă îndelungată inflitrați în interiorul operațiunilor unui alt grup. Cercetătorii Kaspersky Lab au descoperit ceea ce par a fi două exemple de astfel de backdoor-uri. Unul dintre acestea a fost găsit în 2013, în timpul analizării unui server folosit de NetTraveler, o campanie realizată de vorbitori de limbă chineză, care a țintit activiști și organizații din Asia. Următorul a fost descoperit în 2014, în timpul investigării unui site atacat și folosit de Crouching Yeti (de asemenea cunoscut ca Energetic Bear), un autor de limbă rusă care țintește sectorul industrial din 2010. Cercetătorii au observat că, pentru o scurtă perioadă, panoul care se ocupă de rețeaua C&C a fost modificat cu un indiciu care ducea la un IP din China (probabil, un indiciu fals, plasat special pentru inducerea în eroare). Cercetătorii cred că și acesta a fost un backdoor aparținând unui alt grup, deși nu sunt indicii în legătură cu identitatea acestuia. 2. Publicarea unor site-uri controlate În 2016, cercetătorii Kaspersky Lab au descoperit că un site compromis de gruparea de limbă coreeană DarkHotel a ”găzduit” și script-uri de exploit-uri pentru alt atacator, denumit ScarCruft, un grup care țintește în special organizații din Rusia, China și Coreea de Sud. Operațiunea DarkHotel datează din aprilie 2016, în timp ce atacurile ScarCruft au fost implementate o lună mai târziu, sugerând că este posibil ca ScarCruft să fi observat atacurile DarkHotel înainte de a-și lansa propriile atacuri. 3. Țintirea prin intermediari Infiltrarea unui grup cu miză într-o anumită regiune sau sector industrial le permite atacatorilor să reducă costurile și să-și îmbunătățească țintirea, beneficiind de expertiza specializată a victimei. Unii autori folosesc victime în comun mai degrabă decât să le fure. Această abordare este riscantă dacă unul dintre atacatori nu este suficient de bine pregătit și este prins, pentru că investigația ulterioară a incidentului îi va dezvălui și pe ceilalți atacatori. În noiembrie 2014, Kaspersky Lab a anunțat că un server aparținând unui institut de cercetare din Orientul Mijlociu, cunoscut ca Magnet of Threats, a găzduit și malware pentru autori complecși ca Regin și Equation Group (vorbitori de limbă engleză), Turla și ItaDuke (vorbitori de limbă rusă), precum și Animal Farm (vorbitori de limbă franceză) sau Careto (spaniolă). De fapt, acest server a fost punctul de pornire în descoperirea Equation Group. ”Atribuirea este dificilă atunci când indiciile sunt puține și ușor de manipulat, iar acum noi trebuie să luăm în calcul impactul atacării reciproce de către autori,” spune Juan Andres Guerrero-Saade, Principal Security Researcher, Global Research and Analysis Team la Kaspersky Lab. ”Pe măsură ce mai multe grupuri folosesc instrumentele, victimele și infrastructura altora, își introduc propriile mostre sau adoptă identitatea victimei pentru a realiza alte atacuri, cum vor mai reuși cercetătorii în securitate cibernetică să construiască o imagine clară și corectă? Exemplele noastre sugerează că unele dintre acestea sunt deja o realitate, iar cercetătorii vor avea nevoie să se oprească un moment și să își adapteze gândirea atunci când trebuie să analizeze activitatea autorilor de atacuri avansate.” Pentru a ține pasul cu amenințările în continuă schimbare, Kaspersky Lab le recomandă companiilor să implementeze o platformă de securitate completă și să folosească informații despre amenințări. Portofoliul de securitate al Kaspersky Lab le oferă companiilor prevenție, prin intermediul gamei de ultimă generație de securitate endpoint, detecție, bazată pe platforma Kaspersky Anti Targeted Attack, predicție și reacție imediată la incidente, prin serviciile de informații despre amenințări. 524