Cyberprzestępczość wkracza w nowy wymiar. Hakerzy atakują już nie tylko organizacje rządowe, instytucje finansowe czy firmy zbrojeniowe, ale i… innych hakerów.

Firma Kaspersky Lab odnotowała rzadki i nietypowy incydent, w którym jedna formacja cyberprzestępcza zaatakowała drugą. W 2014 r. Hellsing, niewielkie i niczym niewyróżniające się pod względem technicznym ugrupowanie atakujące głównie organizacje rządowe i dyplomatyczne w Azji, stało się celem ukierunkowanego ataku przeprowadzonego przez inną grupę cyberprzestępczą i postanowiło wziąć odwet. Może to zwiastować pojawienie się nowego trendu w dziedzinie cyberprzestępczości: wojen APT (ang. Advanced Persistent Threats) – złożonych, długotrwałych i wielostopniowych działań kierowanych przeciwko konkretnym osobom, organizacjom lub firmom.

Eksperci z Kaspersky Lab dokonali wspomnianego odkrycia podczas badania aktywności Naikona atakującego organizacje w regionie Azji i Pacyfiku. Specjaliści zauważyli, że jeden z celów Naikona zidentyfikował próbę zainfekowania swoich systemów poprzez spersonalizowaną wiadomość e-mail (tzw. spear-phishing) zawierającą szkodliwy załącznik.

Cel ataku zweryfikował autentyczność e-maila u nadawcy i – najwyraźniej nieusatysfakcjonowany odpowiedzią – nie otworzył załącznika. Następnie przesłał nadawcy wiadomość zawierającą swoje własne szkodliwe oprogramowanie. Działanie to zainicjowało badanie przeprowadzone przez Kaspersky Lab i doprowadziło do wykrycia grupy APT Hellsing. Metoda kontrataku sugeruje, że Hellsing chciał zidentyfikować grupę Naikon i zebrać informacje na jej temat.

Wykonana przez Kaspersky Lab głębsza analiza grupy cyberprzestępczej Hellsing naprowadziła na trop wiadomości zawierających szkodliwe załączniki, których celem było rozprzestrzenianie oprogramowania szpiegowskiego do różnych organizacji. Gdy ofiara otworzyła szkodliwy załącznik, jej system był infekowany specjalnie stworzonym backdoorem zdolnym do pobierania i wysyłania plików, jak również aktualizowania i odinstalowywania siebie. Z badania Kaspersky Lab wynika, że liczba organizacji zaatakowanych przez grupę Hellsing wynosi blisko 20.

Kaspersky Lab wykrył i zablokował szkodliwe oprogramowanie grupy Hellsing w Malezji, na Filipinach, w Indiach, Indonezji oraz Stanach Zjednoczonych, przy czym większość ofiar zlokalizowana była w Malezji i na Filipinach. Atakujący są niezwykle wybiórczy odnośnie swoich celów, infekując głównie instytucje rządowe i dyplomatyczne.

„Atak na grupę Naikon przeprowadzony przez ugrupowanie Hellsing jest dość nietypowy. Wprawdzie w przeszłości odnotowaliśmy przypadki, gdy ugrupowania APT atakowały siebie nawzajem, jednak zazwyczaj robiły to w sposób niezamierzony, kradnąc książki adresowe swoich ofiar, a następnie wysyłając masowo wiadomości do wszystkich osób znajdujących się na takich listach. Jednak biorąc pod uwagę cele i pochodzenie omawianego ataku, wydaje się bardziej prawdopodobne, że jest to przykład celowego ataku jednego ugrupowania cyberprzestępców na drugie” – mówi Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here