Dziś piszemy o przykładzie działań “Hakerów do wynajęcia”. Dlaczego są niebezpieczni? Jak działają? Jak ich usługi wykorzystywane są w biznesie? Na te i wiele innych pytań odpowie wam dzisiejszy artykuł.
W dzisiejszych czasach bezpieczeństwo IT jest jednym z najważniejszych czynników bezpieczeństwa całych przedsiębiorstw, nieuczciwa konkurencja, zupełnie inaczej niż kilkanaście lat temu może uzyskać dostęp do poufnych danych naszej firmy.
W ciągu ostatnich kilku miesięcy zespół badań nad bezpieczeństwem BlackBerry ujawnił aktywność kampanii szpiegowskiej działającej w cyberprzestrzeni.
Hakerzy do wynajęcia, nazwani ekipą “CostaRicto”, posiadają dostosowane do potrzeb narzędzia do zwalczania złośliwego oprogramowania oraz złożone funkcje proxy VPN i tunelowania SSH – skutecznie zabezpieczyli się przed ujawnieniem. Misja BlackBerry ukierunkowana jest na pomoc ofiarom, na całym świecie.
Grupy najemników oferujące ataki w stylu APT (ang: advanced persistent threat) stają się coraz bardziej popularne. Ich taktyka i techniki często przypominają wysoce wyrafinowane kampanie sponsorowane przez państwo, ale profile i geografia ich ofiar są zbyt zróżnicowane, by można je było dopasować do interesów jednego aktora (czytaj: kraju).
Klientem “CostaRicto”, może zostać każdy, kto może sobie na to pozwolić, tym niemniej wyrafinowani specjaliści będą naturalnie wybierać współpracę z patronami o najwyższym profilu finansowym tj. dużymi organizacjami, wpływowymi osobami, czy nawet rządami. Ponieważ stawka jest bardzo wysoka, cyberprzestępcy muszą bardzo ostrożnie wybierać swoich mocodawców, aby uniknąć ryzyka narażenia się na ujawnienie.
Z drugiej strony – odkładając na bok obraz „Wielkiego Brata” – warto zauważyć, że outsourcing kampanii zbierania informacji często penetrującej głębiej niż OSINT może być bardzo korzystny dla zlecającego. Profity z tego typu usług mogą uzyskać zwłaszcza firmy i osoby, które szukają informacji o swojej konkurencji, ale mogą nie posiadać wymaganych narzędzi, infrastruktury i doświadczenia, aby samodzielnie przeprowadzić atak. Używając najemnika jako swojego „przedstawiciela” w cyberwojnie, prawdziwy atakujący może chronić swoją tożsamość i udaremnić próby ataków będących odpowiedzią na pierwszy atak.
Główne cele ataków
Wróćmy jednak do szczegółu. CostaRicto wydają się być bezstronni, jeśli chodzi o geografię ofiar. Ich cele są zlokalizowane w wielu krajach na całym świecie, a jedynie niewielką ich koncentrację można zaobserwować w regionie Azji Południowej. Profile ofiar są zróżnicowane w kilku pionach, przy czym dużą ich część stanowią instytucje finansowe. Do tej pory potwierdzono ataki przeprowadzone skutecznie w niżej wymienionych krajach: Australia, Austria, Bahamy, Bangladesz, Chiny, Czechy, Francja, Holandia, Indie, Mozambik, Portugalia, Singapur, USA.
Kluczowe ustalenia badaczy
CostaRicto atakuje cele, które są rozproszone w różnych krajach Europy, obu Ameryk, Azji, Australii a także Afryki, ale największe skupisko wydaje się znajdować w Azji Południowej. Zdaniem badaczy z BlackBerry może to sugerować, że podmiot stanowiący zagrożenie ma siedzibę w tym właśnie regionie, ale pracuje dla różnych klientów.
Kontrolowane przez nich serwery zarządzane są za pośrednictwem sieci Tor i/lub warstwy serwerów proxy, a do tego w środowisku ofiary tworzona jest również złożona sieć tuneli SSH. Praktyki te ujawniają lepsze niż przeciętne zabezpieczenie operacji.
Backdoor, używany jako podstawa ataku jest nowym szczepem nigdy wcześniej nie widzianego złośliwego oprogramowania – posiadającego nie tylko ciekawą nazwę, ale także szczegółowy system wersjonowania i dobrze skonstruowany kod. Najwcześniejsze znaczniki czasowe pochodzą w nim z października 2019 roku, a na podstawie numerów wersji, projekt wydaje się być w fazie testowania (tzw. debug’owania). Na razie nie jest jasne, czy jest to coś, co hakerzy opracowali wewnętrznie, czy też uzyskali do wyłącznego użytku przez zakup lub np.. w ramach testów beta od innego podmiotu. Projekt ich oprogramowania nazywa się Sombra, co jest nawiązaniem do postaci z gry Overwatch, która specjalizuje się w szpiegostwie, charakteryzuje umiejętnością infiltracji i hakowania.
Niektóre z nazw domen zakodowanych w plikach tego backdoor’a wydają się być spoofingiem legalnych domen (np.: złośliwa domena sbibd[…]net spoofing legalnej domeny State Bank of India Bangladesh, sbibd.com). Jednak ofiary dotknięte tymi backdoorami są niepowiązane, co wskazywałoby na ponowne wykorzystanie kodu i już istniejącej infrastruktury, która służyła wcześniej innemu celowi.
Jeden z adresów IP, na które zarejestrowano domeny backdoor, pokrywa się z wcześniejszą kampanią phishingową przypisaną APT28 (tj.: według danych RiskIQ, domena SombRAT akams[.]in była w momencie ataku zarejestrowana na ten sam adres IP co domena phishingowa mail.kub-gas[.]com).
Specjaliści z BlackBerry uważają jednak, że bezpośrednie połączenie pomiędzy CostaRicto i APT28 jest bardzo mało prawdopodobne. Może się okazać, że nakładanie się na siebie adresów IP jest przypadkowe lub – równie prawdopodobne – że wcześniejsze kampanie phishingowe zostały zlecone najemnikowi w imieniu rzeczywistego podmiotu stanowiącego zagrożenie.
Źródło:
https://blogs.blackberry.com/en/2020/11/the-costaricto-campaign-cyber-espionage-outsourced
Dziś piszemy o przykładzie działań “Hakerów do wynajęcia”. Dlaczego są niebezpieczni? Jak działają? Jak ich usługi wykorzystywane są w biznesie? Na te i wiele innych pytań odpowie wam dzisiejszy artykuł.
W dzisiejszych czasach bezpieczeństwo IT jest jednym z najważniejszych czynników bezpieczeństwa całych przedsiębiorstw, nieuczciwa konkurencja, zupełnie inaczej niż kilkanaście lat temu może uzyskać dostęp do poufnych danych naszej firmy.
W ciągu ostatnich kilku miesięcy zespół badań nad bezpieczeństwem BlackBerry ujawnił aktywność kampanii szpiegowskiej działającej w cyberprzestrzeni.
Hakerzy do wynajęcia, nazwani ekipą “CostaRicto”, posiadają dostosowane do potrzeb narzędzia do zwalczania złośliwego oprogramowania oraz złożone funkcje proxy VPN i tunelowania SSH – skutecznie zabezpieczyli się przed ujawnieniem. Misja BlackBerry ukierunkowana jest na pomoc ofiarom, na całym świecie.
Grupy najemników oferujące ataki w stylu APT (ang: advanced persistent threat) stają się coraz bardziej popularne. Ich taktyka i techniki często przypominają wysoce wyrafinowane kampanie sponsorowane przez państwo, ale profile i geografia ich ofiar są zbyt zróżnicowane, by można je było dopasować do interesów jednego aktora (czytaj: kraju).
Klientem “CostaRicto”, może zostać każdy, kto może sobie na to pozwolić, tym niemniej wyrafinowani specjaliści będą naturalnie wybierać współpracę z patronami o najwyższym profilu finansowym tj. dużymi organizacjami, wpływowymi osobami, czy nawet rządami. Ponieważ stawka jest bardzo wysoka, cyberprzestępcy muszą bardzo ostrożnie wybierać swoich mocodawców, aby uniknąć ryzyka narażenia się na ujawnienie.
Z drugiej strony – odkładając na bok obraz „Wielkiego Brata” – warto zauważyć, że outsourcing kampanii zbierania informacji często penetrującej głębiej niż OSINT może być bardzo korzystny dla zlecającego. Profity z tego typu usług mogą uzyskać zwłaszcza firmy i osoby, które szukają informacji o swojej konkurencji, ale mogą nie posiadać wymaganych narzędzi, infrastruktury i doświadczenia, aby samodzielnie przeprowadzić atak. Używając najemnika jako swojego „przedstawiciela” w cyberwojnie, prawdziwy atakujący może chronić swoją tożsamość i udaremnić próby ataków będących odpowiedzią na pierwszy atak.
Główne cele ataków
Wróćmy jednak do szczegółu. CostaRicto wydają się być bezstronni, jeśli chodzi o geografię ofiar. Ich cele są zlokalizowane w wielu krajach na całym świecie, a jedynie niewielką ich koncentrację można zaobserwować w regionie Azji Południowej. Profile ofiar są zróżnicowane w kilku pionach, przy czym dużą ich część stanowią instytucje finansowe. Do tej pory potwierdzono ataki przeprowadzone skutecznie w niżej wymienionych krajach: Australia, Austria, Bahamy, Bangladesz, Chiny, Czechy, Francja, Holandia, Indie, Mozambik, Portugalia, Singapur, USA.
Kluczowe ustalenia badaczy
CostaRicto atakuje cele, które są rozproszone w różnych krajach Europy, obu Ameryk, Azji, Australii a także Afryki, ale największe skupisko wydaje się znajdować w Azji Południowej. Zdaniem badaczy z BlackBerry może to sugerować, że podmiot stanowiący zagrożenie ma siedzibę w tym właśnie regionie, ale pracuje dla różnych klientów.
Kontrolowane przez nich serwery zarządzane są za pośrednictwem sieci Tor i/lub warstwy serwerów proxy, a do tego w środowisku ofiary tworzona jest również złożona sieć tuneli SSH. Praktyki te ujawniają lepsze niż przeciętne zabezpieczenie operacji.
Backdoor, używany jako podstawa ataku jest nowym szczepem nigdy wcześniej nie widzianego złośliwego oprogramowania – posiadającego nie tylko ciekawą nazwę, ale także szczegółowy system wersjonowania i dobrze skonstruowany kod. Najwcześniejsze znaczniki czasowe pochodzą w nim z października 2019 roku, a na podstawie numerów wersji, projekt wydaje się być w fazie testowania (tzw. debug’owania). Na razie nie jest jasne, czy jest to coś, co hakerzy opracowali wewnętrznie, czy też uzyskali do wyłącznego użytku przez zakup lub np.. w ramach testów beta od innego podmiotu. Projekt ich oprogramowania nazywa się Sombra, co jest nawiązaniem do postaci z gry Overwatch, która specjalizuje się w szpiegostwie, charakteryzuje umiejętnością infiltracji i hakowania.
Niektóre z nazw domen zakodowanych w plikach tego backdoor’a wydają się być spoofingiem legalnych domen (np.: złośliwa domena sbibd[…]net spoofing legalnej domeny State Bank of India Bangladesh, sbibd.com). Jednak ofiary dotknięte tymi backdoorami są niepowiązane, co wskazywałoby na ponowne wykorzystanie kodu i już istniejącej infrastruktury, która służyła wcześniej innemu celowi.
Jeden z adresów IP, na które zarejestrowano domeny backdoor, pokrywa się z wcześniejszą kampanią phishingową przypisaną APT28 (tj.: według danych RiskIQ, domena SombRAT akams[.]in była w momencie ataku zarejestrowana na ten sam adres IP co domena phishingowa mail.kub-gas[.]com).
Specjaliści z BlackBerry uważają jednak, że bezpośrednie połączenie pomiędzy CostaRicto i APT28 jest bardzo mało prawdopodobne. Może się okazać, że nakładanie się na siebie adresów IP jest przypadkowe lub – równie prawdopodobne – że wcześniejsze kampanie phishingowe zostały zlecone najemnikowi w imieniu rzeczywistego podmiotu stanowiącego zagrożenie.
Źródło:
https://blogs.blackberry.com/en/2020/11/the-costaricto-campaign-cyber-espionage-outsourced