Spy Wars: egymást is támadják a hackerek

A kifinomult kiberbűnözők már nemcsak az egyszerű felhasználókat vagy a vállalatokat támadják, hanem más hacker csoportokat is annak érdekében, hogy ellopják az áldozatok adatait, a másik eszközeit és technológiáját, valamint, hogy felhasználhassák annak infrastruktúráját.

A Kaspersky Lab GReAT (Global Research and Analysis Team) részlegének legújabb kutatásából kiderül, hogy a kiberfenyegetések pontos észlelése az azonosító mintákon és eszközökön alapul, amely lehetővé teszi a kutatóknak, hogy csoportosítsák a támadókat azok céljaik, célpontjaik valamint viselkedésük alapján ezzel segítik a szervezeteket a fenyegetettségi szintjük meghatározásában. Azonban amikor a különböző kiberbűnöző csoportok egymást támadják, akkor ez az észlelési modell kudarcot vallhat.

Kép: kaspersky.com/blog

A Kaspersky Lab úgy véli, hogy az ilyen támadásokat főként nemzetállamokat támogató csoportok hajtják végre, amelyek külföldi vagy kevésbé kompetens célpontok ellen irányulnak. Fontos, hogy az informatikai biztonsági kutatók megtanulják, hogyan kell észrevenni és értelmezni az ilyen jellegű támadások jeleit azért, hogy az összefüggések alapján fel lehessen állítani egy általános észlelő rendszert.

A GReAT kutatói a beszámolók alapján az ilyen típusú támadásoknál egyelőre két fő megközelítést azonosítottak: aktív és passzív. A passzív támadások főként más csoportok adatátvitelét használja, például az áldozatok és a C&C szerverek közti kommunikációt – szinte lehetetlen detektálni ezeket a támadásokat. Az aktív támadás során bevonják a másik kibercsapda kártékony infrastruktúráját is.

Van bizonyos kockázata az aktív módszer azonosításának, ugyanakkor több előnnyel is bír, többek között lehet monitorozni az áldozatokat és a célcsoportokat, valamint lehet támadásokat indítani az áldozatok „nevében”. Az aktív támadások eredményessége nagyban függ az áldozatok hibázási rátájától.

A GReAT csapat az alábbi furcsa és váratlan eredményekkel találkoztak a kiberfenyegetések vizsgálata közben:

Backdoor-t telepítettek egy másik C&C infrastruktúrájába

Egy backdoor telepítése egy már feltört hálózatba lehetővé teszi a támadóknak az állandó jelenlétet és hozzáférést. A Kaspersky Lab kutatói több ilyen backdoor-t is találtak.

Az egyik ilyet 2013-ban észlelték, amikor a NetTraveler szerverét elemezték egy kínai nyelvű kampány kapcsán. A másikat 2014-ben találták, amikor egy meghekkelt honlapot vizsgáltak, amelyet a Crounching Yeti, más néven Energetic Bear használt, amely egy orosz nyelvű kiberfenyegetés kifejezetten ipari célpontok ellen. A kutatók ugyan rövid ideig, de érzékelték, hogy a C&C hálózatot olyan módon módosították, hogy az kínai, valószínűleg hamis IP címre mutatott. A kutatók úgy gondolják, ez egy másik csoport backdoor-ja lehetett, de nem egyértelmű, kié.

Feltört weboldalak megosztása

Tavaly a Kaspersky Lab kutatói azonosítottak egy olyan honlapot, amelyet a koreai DarkHotel APT-vel hekkeltek meg és azon a magukat ScarCruft-nak nevezett csoport exploitjait helyezték el. A csoport fő célpontjai az orosz, a kínai és a dél-koreai szervezetek. A DarkHotel támadást 2016. áprilisára datálják, míg a ScarCruft támadásokat egy hónappal később indították, ami arra utal, hogy a ScarCruft csoport megfigyelte a másik támadást, mielőtt elindította sajátját.

Célzott támadás

Ha egy kiberbűnözői csapat más, külső csoportot is bevon a támadásba bizonyos régiókban vagy iparágban, a részesedésért cserébe lehetővé teszi a költségek csökkentését, valamint a támadás eredményességének javítását.

A magyarok féltik autóikat a hackerektől
A magyar autótulajdonosok 90 százaléka lehetségesnek tart egy autós hackertámadást, derül ki az NRC Kft. és az NNG Kft. közös kutatásából. A 18–59 éves lakosság több mint fele (55 százalék) szerint ráadásul a hackerek a jövőben még komolyabb veszélyt jelentenek majd az autósokra nézve.
Néhányan inkább megosztják a kibercsapdákat, semmint konkrét áldozatok ellen fordulnak. Ez a módszer ugyanakkor kockázatos lehet, mivel, ha az egyik csoport kevésbé tapasztalt és lebukik, akkor a rendőrségi vizsgálat során elkerülhetetlenül fény derül a többi csoportra is. Például a Kaspersky Lab 2014. novemberében jelentette, hogy a közel-keleti kutatóintézet szervere, amelyet Magnet of Threats-ként ismerünk, szimultán több más kifinomult kiberfenyegetést is tárol: Regin és Equation Group (angol nyelvűek), Turla és ItaDuke (orosz), Animal Farm (francia) és Careto (spanyol). Valójában ez a szerver volt az alapja az Equation Group felfedezésének.

„Az azonosítás nehéz folyamat, mivel a támadási nyomok ritkák és manipulálhatók illetve most, hogy a hacker csoportok egymást is feltörik vagy meglopják, tovább nehezíti.

Minél több bűnözői csoport használja egymás eszköztárát, áldozatainak adatait és infrastruktúráját, annál nehezebb lesz a minták és egyedi támadási módszerek alapján detektálni az elkövetőket.
A tapasztalat azt mutatja, hogy egyre több ilyen támadást látunk, ezért a biztonsági szakértőknek és elemzőknek alkalmazkodniuk kell és új, hatékony módszereket kifejleszteni a sikeres és pontos azonosítás érdekében.” – vonta le a konklúziót Juan Andres Guerrero-Saade, a Kasperksy Lab GReAT részlegének vezető biztonsági kutatója.

Annak érdekében, hogy a vállalatok naprakészek legyenek a gyorsan fejlődő fenyegetésekkel szemben, a Kaspersky Lab azt javasolja, hogy használjanak egy teljeskörű biztonsági platformot kombinálva egy kibercsapda észlelő csomaggal.

 

Véleményvezér

Kamu jelenléti íveket írtak alá a fideszes EP-képviselők

Kamu jelenléti íveket írtak alá a fideszes EP-képviselők 

Eddig se feszítették szét a munka istrángját a fideszes EP-képviselők.
Nagy a baj, már többet fizetünk az uniónak, mint amit kapunk

Nagy a baj, már többet fizetünk az uniónak, mint amit kapunk 

Meddig megyünk lefelé a gödörbe?
Olimpiát rendeznénk, de közben a több mint 60 éves HÉV szerelvények cseréjére sincs pénz

Olimpiát rendeznénk, de közben a több mint 60 éves HÉV szerelvények cseréjére sincs pénz 

Lassú, de legalább rázós a magyar HÉV élmény.
Magyar Péter szerint már nincs is rezsicsökkentés Magyarországon

Magyar Péter szerint már nincs is rezsicsökkentés Magyarországon 

Magyar Péter és a kormánytagok most Európa színe-java előtt vívnak egymással.
Fotóalbumot készített Hadházy Ákos a magyar kórházi kosztokról, ezt látni kell

Fotóalbumot készített Hadházy Ákos a magyar kórházi kosztokról, ezt látni kell 

Nem finom, de legalább nem is gusztusos.
Véget ért az amerikai dokkmunkások sztrájkja, hatalmas sikert értek el

Véget ért az amerikai dokkmunkások sztrájkja, hatalmas sikert értek el 

A logisztikai költségek tovább nőnek.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo