A Kaspersky Lab GReAT (Global Research and Analysis Team) részlegének legújabb kutatásából kiderül, hogy a kiberfenyegetések pontos észlelése az azonosító mintákon és eszközökön alapul, amely lehetővé teszi a kutatóknak, hogy csoportosítsák a támadókat azok céljaik, célpontjaik valamint viselkedésük alapján ezzel segítik a szervezeteket a fenyegetettségi szintjük meghatározásában. Azonban amikor a különböző kiberbűnöző csoportok egymást támadják, akkor ez az észlelési modell kudarcot vallhat.

Kép: kaspersky.com/blog

A Kaspersky Lab úgy véli, hogy az ilyen támadásokat főként nemzetállamokat támogató csoportok hajtják végre, amelyek külföldi vagy kevésbé kompetens célpontok ellen irányulnak. Fontos, hogy az informatikai biztonsági kutatók megtanulják, hogyan kell észrevenni és értelmezni az ilyen jellegű támadások jeleit azért, hogy az összefüggések alapján fel lehessen állítani egy általános észlelő rendszert.

A GReAT kutatói a beszámolók alapján az ilyen típusú támadásoknál egyelőre két fő megközelítést azonosítottak: aktív és passzív. A passzív támadások főként más csoportok adatátvitelét használja, például az áldozatok és a C&C szerverek közti kommunikációt – szinte lehetetlen detektálni ezeket a támadásokat. Az aktív támadás során bevonják a másik kibercsapda kártékony infrastruktúráját is.

Van bizonyos kockázata az aktív módszer azonosításának, ugyanakkor több előnnyel is bír, többek között lehet monitorozni az áldozatokat és a célcsoportokat, valamint lehet támadásokat indítani az áldozatok „nevében”. Az aktív támadások eredményessége nagyban függ az áldozatok hibázási rátájától.

A GReAT csapat az alábbi furcsa és váratlan eredményekkel találkoztak a kiberfenyegetések vizsgálata közben:

Backdoor-t telepítettek egy másik C&C infrastruktúrájába

Egy backdoor telepítése egy már feltört hálózatba lehetővé teszi a támadóknak az állandó jelenlétet és hozzáférést. A Kaspersky Lab kutatói több ilyen backdoor-t is találtak.

Az egyik ilyet 2013-ban észlelték, amikor a NetTraveler szerverét elemezték egy kínai nyelvű kampány kapcsán. A másikat 2014-ben találták, amikor egy meghekkelt honlapot vizsgáltak, amelyet a Crounching Yeti, más néven Energetic Bear használt, amely egy orosz nyelvű kiberfenyegetés kifejezetten ipari célpontok ellen. A kutatók ugyan rövid ideig, de érzékelték, hogy a C&C hálózatot olyan módon módosították, hogy az kínai, valószínűleg hamis IP címre mutatott. A kutatók úgy gondolják, ez egy másik csoport backdoor-ja lehetett, de nem egyértelmű, kié.

Feltört weboldalak megosztása

Tavaly a Kaspersky Lab kutatói azonosítottak egy olyan honlapot, amelyet a koreai DarkHotel APT-vel hekkeltek meg és azon a magukat ScarCruft-nak nevezett csoport exploitjait helyezték el. A csoport fő célpontjai az orosz, a kínai és a dél-koreai szervezetek. A DarkHotel támadást 2016. áprilisára datálják, míg a ScarCruft támadásokat egy hónappal később indították, ami arra utal, hogy a ScarCruft csoport megfigyelte a másik támadást, mielőtt elindította sajátját.

Célzott támadás

Ha egy kiberbűnözői csapat más, külső csoportot is bevon a támadásba bizonyos régiókban vagy iparágban, a részesedésért cserébe lehetővé teszi a költségek csökkentését, valamint a támadás eredményességének javítását.

Néhányan inkább megosztják a kibercsapdákat, semmint konkrét áldozatok ellen fordulnak. Ez a módszer ugyanakkor kockázatos lehet, mivel, ha az egyik csoport kevésbé tapasztalt és lebukik, akkor a rendőrségi vizsgálat során elkerülhetetlenül fény derül a többi csoportra is. Például a Kaspersky Lab 2014. novemberében jelentette, hogy a közel-keleti kutatóintézet szervere, amelyet Magnet of Threats-ként ismerünk, szimultán több más kifinomult kiberfenyegetést is tárol: Regin és Equation Group (angol nyelvűek), Turla és ItaDuke (orosz), Animal Farm (francia) és Careto (spanyol). Valójában ez a szerver volt az alapja az Equation Group felfedezésének.

„Az azonosítás nehéz folyamat, mivel a támadási nyomok ritkák és manipulálhatók illetve most, hogy a hacker csoportok egymást is feltörik vagy meglopják, tovább nehezíti.

Minél több bűnözői csoport használja egymás eszköztárát, áldozatainak adatait és infrastruktúráját, annál nehezebb lesz a minták és egyedi támadási módszerek alapján detektálni az elkövetőket.

A tapasztalat azt mutatja, hogy egyre több ilyen támadást látunk, ezért a biztonsági szakértőknek és elemzőknek alkalmazkodniuk kell és új, hatékony módszereket kifejleszteni a sikeres és pontos azonosítás érdekében.” – vonta le a konklúziót Juan Andres Guerrero-Saade, a Kasperksy Lab GReAT részlegének vezető biztonsági kutatója.

Annak érdekében, hogy a vállalatok naprakészek legyenek a gyorsan fejlődő fenyegetésekkel szemben, a Kaspersky Lab azt javasolja, hogy használjanak egy teljeskörű biztonsági platformot kombinálva egy kibercsapda észlelő csomaggal.