Najnowsze taktyki cyberszpiegowskie: złożoność i modułowość kontra funkcjonalność


Najnowsze taktyki cyberszpiegowskie: złożoność i modułowość kontra funkcjonalność
2015-03-12
Ataki przeprowadzane przez ugrupowania cyberprzestępcze sponsorowane przez rządy stają się coraz bardziej wyrafinowane, uderzają w starannie wyselekcjonowane cele, wykorzystują złożone, modułowe narzędzia i potrafią skutecznie unikać wykrycia.

Eksperci z Kaspersky Lab przyjrzeli się nowym taktykom wykorzystywanym przez najbardziej zaawansowanych cyberprzestępców.

 

Nowe trendy zostały potwierdzone podczas szczegółowej analizy platformy cyberszpiegowskiej EquationDrug, wykorzystywanej w ujawnionej niedawno operacji Equation. Specjaliści z Kaspersky Lab ustalili, że wobec coraz większych sukcesów w obnażaniu grup stosujących zaawansowane długotrwałe ataki ukierunkowane (APT) najbardziej zaawansowani aktorzy na scenie zagrożeń dążą obecnie do dodawania do swoich szkodliwych platform komponentów, które zwiększają funkcjonalność i jednocześnie utrudniają wykrycie niebezpiecznej aktywności. 

 

Najnowsze platformy cyberprzestępcze zawierają wiele modułów i wtyczek, które pozwalają im wykonywać szereg różnych funkcji, w zależności od celu i posiadanych informacji. Kaspersky Lab szacuje, że EquationDrug jest wyposażony w 116 takich wtyczek.

 

„Ugrupowania sponsorowane przez rządy dążą do budowania bardziej stabilnych, niewidocznych, niezawodnych i uniwersalnych narzędzi cyberszpiegowskich. Koncentrują się na tworzeniu platform umożliwiających 'opakowanie' takiego kodu w coś, co może zostać dostosowane do indywidualnych potrzeb w żywych systemach i zapewnić niezawodny sposób przechowywania wszystkich komponentów oraz danych w postaci zaszyfrowanej, niedostępnej dla zwykłych użytkowników” – wyjaśnia Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab. „Wyrafinowanie tych struktur sprawia, że ten rodzaj atakujących różni się od tradycyjnych cyberprzestępców, którzy koncentrują się na szkodliwych funkcjach i uzyskiwaniu bezpośrednich korzyści finansowych”.

 

Inne cechy odróżniające taktyki cyberprzestępców sponsorowanych przez rządy od tradycyjnych szkodliwych użytkowników obejmują:

 

·     - Skalę. Tradycyjni cyberprzestępcy rozprzestrzeniają masowo e-maile zawierające szkodliwe załączniki lub infekują strony internetowe na dużą skalę, podczas gdy ugrupowania cyberprzestępcze sponsorowane przez rządy preferują wysoce ukierunkowane ataki przeprowadzane z chirurgiczną precyzją, w wyniku których infekowana jest jedynie garstka wyselekcjonowanych użytkowników.  

·  - Indywidualne podejście. O ile tradycyjni cyberprzestępcy zwykle wykorzystują ponownie publicznie dostępny kod źródłowy, taki jak np. kod niesławnego trojana ZeuS czy Carberp, ugrupowania sponsorowane przez rządy tworzą unikatowe, spersonalizowane szkodliwe oprogramowanie, a nawet implementują ograniczenia, które uniemożliwiają deszyfrowanie oraz uruchomienie poza atakowanym komputerem.

·       -  Wydobywanie cennych informacji. Cyberprzestępcy na ogół próbują zainfekować możliwie najwięcej użytkowników. Brakuje im jednak czasu i miejsca do przechowywania, aby mogli ręcznie sprawdzić wszystkie infekowane przez siebie maszyny i przeanalizować, kto jest ich właścicielem, jakie dane są na nich przechowywane i jakie oprogramowanie jest uruchomione – a następnie przesyłać i przechowywać wszystkie potencjalnie interesujące ich dane. W efekcie typowi atakujący tworzą wszechstronne, szkodliwe programy, które wydobywają z maszyn ofiar jedynie najcenniejsze dane, takie jak hasła i numery kart kredytowych. Jest to działanie, które może doprowadzić do ich szybkiej identyfikacji przez oprogramowanie bezpieczeństwa. Z drugiej strony ugrupowania cyberprzestępcze sponsorowane przez rządy posiadają zasoby umożliwiające im przechowywanie danych bez ograniczeń. Aby nie ściągnąć na siebie uwagi oprogramowania bezpieczeństwa i pozostać dla niego niewidocznym, próbują unikać infekowania przypadkowych użytkowników - zamiast tego stosują zdalne narzędzia do zarządzania systemami, które potrafią skopiować dowolne potrzebne informacje w dowolnych ilościach. To może jednak obrócić się przeciwko nim, ponieważ przenoszenie ogromnej ilości danych może spowolnić połączenie sieciowe i wzbudzić podejrzenia. 

 

„Może wydawać się niezwykłe, że tak rozbudowana platforma cyberszpiegowska jak EquationDrug nie oferuje wszystkich możliwości kradzieży jako standardu w swoim kodzie. Jest to spowodowane tym, że cyberprzestępcy wolą dostosować atak do każdej indywidualnej ofiary. Jeśli chcą aktywnie monitorować użytkownika, a produkty bezpieczeństwa na jego maszynie zostały 'rozbrojone', użytkownik otrzyma wtyczkę umożliwiającą śledzenie na żywo jego konwersacji lub inne funkcje związane z jego aktywnością. Uważamy, że modułowość i personalizacja staną się w przyszłości unikatowym znakiem rozpoznawczym cyberprzestępców sponsorowanych przez rządy” – podsumowuje Costin Raiu.

 

EquationDrug jest główną platformą szpiegowską opracowaną przez Equation Group. Była wykorzystywana od ponad dekady, obecnie jednak jest w dużym stopniu zastępowana przez jeszcze bardziej wyrafinowaną platformę GrayFish. Taktyczne trendy potwierdzone w trakcie analizy EquationDrug zostały po raz pierwszy zaobserwowane przez ekspertów z Kaspersky Lab podczas badań dotyczących m.in. kampanii cyberszpiegowskich The Mask/Careto oraz Regin.

 

Produkty Kaspersky Lab wykryły i zablokowały szereg ataków grupy Equation – wiele z nich zostało przechwyconych przez technologię Automatyczne zapobieganie exploitom, która ma za zadanie blokować wykorzystywanie nieznanych błędów w zabezpieczeniach systemów operacyjnych oraz aplikacji.

 

Najnowsze badanie dotyczące platformy EquationDrug jest dostępne w języku angielskim w serwisie SecureList.com prowadzonym przez Kaspersky Lab: http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform.    

 

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

 

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl