Kako hakerske grupe kradu i kopiraju jedne od drugih

Sofisticirani sajber kriminalci aktivno hakuju druge grupe kako bi ukrali podatke o žrtvama, pozajmljivali alate i tehnike i ponovo iskoristili njihove infrastrukture, čime je bezbednosnim istraživačima dodatno otežano kreiranje precizne baze podataka o pretnjama i hakerskim grupama, rezultati su istraživanja globalnog tima kompanije Kaspersky lab za istraživanje i analizu Kaspersky Lab (GReAT) .

 

Tačne informacije o pretnjama zavise od identifikacije obrazaca i alata koji su karakteristični za određene hakerske grupe. Ovakvo znanje omogućava istraživačima da bolje definišu ciljeve i ponašanja napadača, kao i da pomognu organizacijama da odrede njihov nivo rizika. Kada napadači počnu da hakuju jedni druge, preuzimanjem alata, infrastrukture, pa čak i žrtava, ovaj model brzo počinje da se razbija.

Kompanija Kaspersky Lab veruje da će takve napade verovatno koristiti grupe koje imaju podršku određenih država, targetirajući strane ili manje kompetentne kriminalce. Zato je veoma važno da IT bezbednosni istraživači nauče kako da prepoznaju i interpretiraju naznake ovih napada.

U detaljnom prikazu mogućnosti za sprovođenje ovakvih napada, istraživači GreAT tima su identifikovali dva glavna pristupa: pasivni i aktivni. Pasivni napadi uključuju presretanje podataka drugih grupa u tranzitu, na primer dok se kreću od žrtava ka komandnim i kontrolnim serverima, i gotovo ih je nemoguće otkriti. Aktivni pristup uključuje infiltriranje maliciozne infrastrukture druge kriminalne grupe.

Postoji veći rizik od detekcije u aktivnom pristupu, ali on takodje nudi više koristi jer omogućava napadaču da redovno izvlači informacije, prati svoje ciljeve i njihove žrtve i potencijalno ubacuje svoje sopstvene implante ili napade u ime svoje žrtve. Uspeh aktivnih napada se u velikoj meri oslanja na to da li će žrtva napraviti grešku kada je u pitanju operativna bezbednost.

GreAT tim je detektovao brojne čudne i neočekivane predmete dok je istraživao određene hakerske grupe, koji ukazuju na to da se takvi aktivni napadi već dešavaju.

Neki od primera su:

Backdoor instaliran na komandnu i kontrolnu infrastrukturu druge hakerske grupe

Instaliranje backdoor-a na hakovanu mrežu omogućava napadačima da se infiltriraju u operaciju druge hakerske grupe. Istraživači iz kompanije Kaspersky Lab detektovali su dva „divlja“ primera ovakvih backdoor-ova.

Jedna od njih detektovana je 2013. godine, prilikom analize servera korišćenog u kampanji NetTraveler, kampanji sa kineskog govornog područja usmerenoj ka aktivistima i organizacijama u Aziji. Druga je pronađena 2014. godine, dok je istraživala hakovanu veb stranicu koju je koristila grupa Crouching Yeti (poznata i pod nazivom Energetic Bear), grupa sa ruskog govornog područja usmerena na industrijski sektor.

Deljenje hakovanih veb stranica

U 2016. godini istraživači iz kompanije Kaspersky Lab otkrili su da je veb stranica, koju je kompromitovala korejska hakerska grupa DarkHotel, takođe sadržala i exploit skripte druge hakerske grupe pod nazivom ScarCruft, koja uglavnom targetira organizacije iz Rusije, Kine i Južne Koreje. Aktivnost DarkHotel grupe datira od aprila 2016. godine, dok su napadi ScarCruft grupe sprovedeni mesec dana kasnije, što ukazuje na činjenicu da je grupa ScarCruft možda posmatrala DarkHotel kampanju pre nego što je pokrenula svoju.

Targetiranje preko proxy-ja

Infiltriranje u grupu koja targetira žrtve u određenom regionu ili industrijskom sektoru omogućava napadačima da smanje troškove i poboljšaju targetiranje, koristeći specijalističku ekspertizu svoje žrtve.

U novembru 2014. godine, Kaspersky Lab je objavio da je server koji pripada istraživačkoj instituciji na Bliskom istoku, poznat kao Magnet of Threats, istovremeno bio „domaćin“ implantima za sofisticirane kriminalne grupe kao što su Regin i Equation Group (sa engleskog govornog područja), Turla i ItaDuke (sa ruskog govornog područja), kao i Animal Farm (francusko govorno područje) i Careto (špansko govorno područje). Zapravo, ovaj server je bio polazna tačka za otkrivanje grupe Equation.

* * *

„Pripisivanje aktivnosti određenoj grupi je veoma teško budući da su tragovi retki i da se njima može jednostavno manipulisati, pri čemu od nedavno moramo uzeti u obzir i činjenicu da se hakerske grupe međusobno kompromituju. Budući da sve veći broj grupa međusobno koristi alate, žrtve i infrastrukturu, ubacuje svoje implante i preuzima identitet žrtava kako bi nastavili dalje sprovođenje napada, to bezbednosnim istraživačima pravi ozbiljan preoblem u pokušaju da naprave jasnu i preciznu sliku o aktuelnim pretnjama i hakerskim grupama. Navedeni primeri ukazuju na činjenicu da će istraživači morati da se prilagode načinu razmišljanja kriminalnih grupa ako žele da ih zaustave”, izjavio je Huan Andres Gerero Sade (Juan Andres Guerrero-Saade), glavni bezbednosni istraživač u globalnom timu za istraživanje i analizu (GreAT) u kompaniji Kaspersky Lab.

Kako bi održale korak sa pretnjama koje konstantno evoluirale, kompanija Kaspersky Lab savetuje organizacijama da implementiraju sveobuhvatnu bezbednosnu platformu u kombinaciji sa najsavremenijim i aktuelnijim bazama podataka o sajber pretnjama.