Ataki przeprowadzane przez ugrupowania hakerskie sponsorowane przez rządy stają się coraz bardziej wyrafinowane. Uderzają w starannie wyselekcjonowane cele, wykorzystują złożone, modułowe narzędzia i potrafią skutecznie unikać wykrycia.

Reklama

Nowe trendy potwierdzono podczas szczegółowej analizy platformy cyberszpiegowskiej EquationDrug, wykorzystywanej w ujawnionej niedawno operacji Equation.

Najnowsze platformy cyberprzestępcze zawierają wiele modułów i wtyczek, które pozwalają im wykonywać szereg różnych funkcji, w zależności od celu i posiadanych informacji. Kaspersky Lab szacuje, że EquationDrug jest wyposażony aż w 116 takich wtyczek.

„Ugrupowania sponsorowane przez rządy dążą do budowania bardziej stabilnych, niewidocznych, niezawodnych i uniwersalnych narzędzi cyberszpiegowskich. Koncentrują się na tworzeniu platform umożliwiających „opakowanie” takiego kodu w coś, co może zostać dostosowane do indywidualnych potrzeb w żywych systemach i zapewnić niezawodny sposób przechowywania wszystkich komponentów oraz danych w postaci zaszyfrowanej, niedostępnej dla zwykłych użytkowników” – wyjaśnia Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (Global Research and Analysis Team   GreAT) Kaspersky Lab. „Wyrafinowanie tych struktur sprawia, że ten rodzaj atakujących różni się od tradycyjnych cyberprzestępców, którzy koncentrują się na szkodliwych funkcjach i uzyskiwaniu bezpośrednich korzyści finansowych” – dodaje.

Rządowe posadki vs. domowe zacisze

Istnieje wiele różnic pomiędzy cyberprzestępcami działającymi za rządowe pieniądze a funkcjonującymi w „piwnicach” swoich domów. Największą z nich jest skala działań. Tradycyjni hakerzy rozprzestrzeniają masowo e-maile zawierające szkodliwe załączniki lub zarażają strony internetowe na dużą skalę. Natomiast ugrupowania preferują ukierunkowane ataki przeprowadzane z chirurgiczną precyzją. W ich wyniku infekowana jest jedynie garstka wyselekcjonowanych użytkowników.

Sponsorowani hakerzy charakteryzują się również indywidualnym podejściem. O ile tradycyjni cyberprzestępcy zwykle wykorzystują ponownie publicznie dostępny kod źródłowy, taki jak np. ten odpowiedzialny za działanie niesławnego trojana ZeuS czy Carberp, to ugrupowania sponsorowane przez rządy tworzą unikatowe, spersonalizowane szkodliwe oprogramowanie. Są one w stanie implementować ograniczenia, które uniemożliwiają deszyfrowanie oraz uruchomienie poza atakowanym komputerem.

Wydobywanie cennych informacji

Cyberprzestępcy na ogół próbują zainfekować możliwie najwięcej użytkowników. Brakuje im jednak czasu i miejsca do przechowywania danych, aby mogli ręcznie sprawdzić wszystkie infekowane przez siebie maszyny i przeanalizować, kto jest ich właścicielem. Nie są w stanie magazynować informacji o tym, jakie oprogramowanie jest uruchomione i przesyłać oraz przechowywać wszystkich potencjalnie interesujących ich wiadomości. W efekcie typowi atakujący tworzą wszechstronne, szkodliwe programy, które wydobywają z maszyn ofiar jedynie najcenniejsze dane, takie jak hasła i numery kart kredytowych. Jest to działanie, które może doprowadzić do ich szybkiej identyfikacji przez oprogramowanie bezpieczeństwa.

Osoby związane z rządem posiadają zasoby umożliwiające im przechowywanie danych bez ograniczeń. Aby nie ściągnąć na siebie uwagi oprogramowania bezpieczeństwa i pozostać dla niego niewidocznym, próbują unikać infekowania przypadkowych użytkowników. Zamiast tego stosują zdalne narzędzia do zarządzania systemami, które potrafią skopiować dowolne potrzebne informacje w dowolnych ilościach. Istnieje jednak zagrożenie, że obróci się przeciwko nim, ponieważ przenoszenie ogromnej ilości danych spowalnia połączenia sieciowe i jest w stanie wzbudzić podejrzenia.

EquationDrug jest główną platformą szpiegowską opracowaną przez Equation Group. Była wykorzystywana od ponad dekady, obecnie jednak jest w dużym stopniu zastępowana przez jeszcze bardziej wyrafinowaną platformę GrayFish.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here