{"id":6169,"date":"2020-11-17T13:05:04","date_gmt":"2020-11-17T12:05:04","guid":{"rendered":"https:\/\/teneg.pl\/its\/?p=6169"},"modified":"2025-01-16T12:18:44","modified_gmt":"2025-01-16T11:18:44","slug":"hakerzy-do-wynajecia-przyklad-costaricto","status":"publish","type":"post","link":"https:\/\/teneg.pl\/its\/hakerzy-do-wynajecia-przyklad-costaricto\/","title":{"rendered":"Hakerzy do wynaj\u0119cia – przyk\u0142ad CostaRicto"},"content":{"rendered":"

Dzi\u015b piszemy o przyk\u0142adzie dzia\u0142a\u0144 \u201cHaker\u00f3w do wynaj\u0119cia\u201d. Dlaczego s\u0105 niebezpieczni? Jak dzia\u0142aj\u0105? Jak ich us\u0142ugi wykorzystywane s\u0105 w biznesie? Na te i wiele innych pyta\u0144 odpowie wam dzisiejszy artyku\u0142.<\/p>\n

W dzisiejszych czasach bezpiecze\u0144stwo IT jest jednym z najwa\u017cniejszych czynnik\u00f3w bezpiecze\u0144stwa ca\u0142ych przedsi\u0119biorstw, nieuczciwa konkurencja, zupe\u0142nie inaczej ni\u017c kilkana\u015bcie lat temu mo\u017ce uzyska\u0107 dost\u0119p do poufnych danych naszej firmy.<\/p>\n

W ci\u0105gu ostatnich kilku miesi\u0119cy zesp\u00f3\u0142 bada\u0144 nad bezpiecze\u0144stwem BlackBerry ujawni\u0142 aktywno\u015b\u0107 kampanii szpiegowskiej dzia\u0142aj\u0105cej w cyberprzestrzeni.<\/p>\n

Hakerzy do wynaj\u0119cia, nazwani ekip\u0105 \u201cCostaRicto\u201d, posiadaj\u0105 dostosowane do potrzeb narz\u0119dzia do zwalczania z\u0142o\u015bliwego oprogramowania oraz z\u0142o\u017cone funkcje proxy VPN i tunelowania SSH – skutecznie zabezpieczyli si\u0119 przed ujawnieniem. Misja BlackBerry ukierunkowana jest na pomoc ofiarom, na ca\u0142ym \u015bwiecie.<\/p>\n

Grupy najemnik\u00f3w oferuj\u0105ce ataki w stylu APT (ang: advanced persistent threat) staj\u0105 si\u0119 coraz bardziej popularne. Ich taktyka i techniki cz\u0119sto przypominaj\u0105 wysoce wyrafinowane kampanie sponsorowane przez pa\u0144stwo, ale profile i geografia ich ofiar s\u0105 zbyt zr\u00f3\u017cnicowane, by mo\u017cna je by\u0142o dopasowa\u0107 do interes\u00f3w jednego aktora (czytaj: kraju).<\/p>\n

Klientem \u201cCostaRicto\u201d, mo\u017ce zosta\u0107 ka\u017cdy, kto mo\u017ce sobie na to pozwoli\u0107, tym niemniej wyrafinowani specjali\u015bci b\u0119d\u0105 naturalnie wybiera\u0107 wsp\u00f3\u0142prac\u0119 z patronami o najwy\u017cszym profilu finansowym tj. du\u017cymi organizacjami, wp\u0142ywowymi osobami, czy nawet rz\u0105dami. Poniewa\u017c stawka jest bardzo wysoka, cyberprzest\u0119pcy musz\u0105 bardzo ostro\u017cnie wybiera\u0107 swoich mocodawc\u00f3w, aby unikn\u0105\u0107 ryzyka nara\u017cenia si\u0119 na ujawnienie.<\/p>\n

Z drugiej strony \u2013 odk\u0142adaj\u0105c na bok obraz \u201eWielkiego Brata\u201d – warto zauwa\u017cy\u0107, \u017ce outsourcing kampanii zbierania informacji cz\u0119sto penetruj\u0105cej g\u0142\u0119biej ni\u017c OSINT mo\u017ce by\u0107 bardzo korzystny dla zlecaj\u0105cego. Profity z tego typu us\u0142ug mog\u0105 uzyska\u0107 zw\u0142aszcza firmy i osoby, kt\u00f3re szukaj\u0105 informacji o swojej konkurencji, ale mog\u0105 nie posiada\u0107 wymaganych narz\u0119dzi, infrastruktury i do\u015bwiadczenia, aby samodzielnie przeprowadzi\u0107 atak. U\u017cywaj\u0105c najemnika jako swojego \u201eprzedstawiciela\u201d w cyberwojnie, prawdziwy atakuj\u0105cy mo\u017ce chroni\u0107 swoj\u0105 to\u017csamo\u015b\u0107 i udaremni\u0107 pr\u00f3by atak\u00f3w b\u0119d\u0105cych odpowiedzi\u0105 na pierwszy atak.<\/p>\n

G\u0142\u00f3wne cele atak\u00f3w<\/strong><\/p>\n

Wr\u00f3\u0107my jednak do szczeg\u00f3\u0142u. CostaRicto wydaj\u0105 si\u0119 by\u0107 bezstronni, je\u015bli chodzi o geografi\u0119 ofiar. Ich cele s\u0105 zlokalizowane w wielu krajach na ca\u0142ym \u015bwiecie, a jedynie niewielk\u0105 ich koncentracj\u0119 mo\u017cna zaobserwowa\u0107 w regionie Azji Po\u0142udniowej. Profile ofiar s\u0105 zr\u00f3\u017cnicowane w kilku pionach, przy czym du\u017c\u0105 ich cz\u0119\u015b\u0107 stanowi\u0105 instytucje finansowe. Do tej pory potwierdzono ataki przeprowadzone skutecznie w ni\u017cej wymienionych krajach: Australia, Austria, Bahamy, Bangladesz, Chiny, Czechy, Francja, Holandia, Indie, Mozambik, Portugalia, Singapur, USA.<\/p>\n

Kluczowe ustalenia badaczy<\/strong><\/p>\n

CostaRicto atakuje cele, kt\u00f3re s\u0105 rozproszone w r\u00f3\u017cnych krajach Europy, obu Ameryk, Azji, Australii a tak\u017ce Afryki, ale najwi\u0119ksze skupisko wydaje si\u0119 znajdowa\u0107 w Azji Po\u0142udniowej. Zdaniem badaczy z BlackBerry mo\u017ce to sugerowa\u0107, \u017ce podmiot stanowi\u0105cy zagro\u017cenie ma siedzib\u0119 w tym w\u0142a\u015bnie regionie, ale pracuje dla r\u00f3\u017cnych klient\u00f3w.<\/p>\n

Kontrolowane przez nich serwery zarz\u0105dzane s\u0105 za po\u015brednictwem sieci Tor i\/lub warstwy serwer\u00f3w proxy, a do tego w \u015brodowisku ofiary tworzona jest r\u00f3wnie\u017c z\u0142o\u017cona sie\u0107 tuneli SSH. Praktyki te ujawniaj\u0105 lepsze ni\u017c przeci\u0119tne zabezpieczenie operacji.<\/p>\n

Backdoor, u\u017cywany jako podstawa ataku jest nowym szczepem nigdy wcze\u015bniej nie widzianego z\u0142o\u015bliwego oprogramowania \u2013 posiadaj\u0105cego nie tylko ciekaw\u0105 nazw\u0119, ale tak\u017ce szczeg\u00f3\u0142owy system wersjonowania i dobrze skonstruowany kod. Najwcze\u015bniejsze znaczniki czasowe pochodz\u0105 w nim z pa\u017adziernika 2019 roku, a na podstawie numer\u00f3w wersji, projekt wydaje si\u0119 by\u0107 w fazie testowania (tzw. debug\u2019owania). Na razie nie jest jasne, czy jest to co\u015b, co hakerzy opracowali wewn\u0119trznie, czy te\u017c uzyskali do wy\u0142\u0105cznego u\u017cytku przez zakup lub np.. w ramach test\u00f3w beta od innego podmiotu. Projekt ich oprogramowania nazywa si\u0119 Sombra, co jest nawi\u0105zaniem do postaci z gry Overwatch, kt\u00f3ra specjalizuje si\u0119 w szpiegostwie, charakteryzuje umiej\u0119tno\u015bci\u0105 infiltracji i hakowania.<\/p>\n

Niekt\u00f3re z nazw domen zakodowanych w plikach tego backdoor\u2019a wydaj\u0105 si\u0119 by\u0107 spoofingiem legalnych domen (np.: z\u0142o\u015bliwa domena sbibd[…]net spoofing legalnej domeny State Bank of India Bangladesh, sbibd.com). Jednak ofiary dotkni\u0119te tymi backdoorami s\u0105 niepowi\u0105zane, co wskazywa\u0142oby na ponowne wykorzystanie kodu i ju\u017c istniej\u0105cej infrastruktury, kt\u00f3ra s\u0142u\u017cy\u0142a wcze\u015bniej innemu celowi.<\/p>\n

Jeden z adres\u00f3w IP, na kt\u00f3re zarejestrowano domeny backdoor, pokrywa si\u0119 z wcze\u015bniejsz\u0105 kampani\u0105 phishingow\u0105 przypisan\u0105 APT28 (tj.: wed\u0142ug danych RiskIQ, domena SombRAT akams[.]in by\u0142a w momencie ataku zarejestrowana na ten sam adres IP co domena phishingowa mail.kub-gas[.]com).<\/p>\n

Specjali\u015bci z BlackBerry uwa\u017caj\u0105 jednak, \u017ce bezpo\u015brednie po\u0142\u0105czenie pomi\u0119dzy CostaRicto i APT28 jest bardzo ma\u0142o prawdopodobne. Mo\u017ce si\u0119 okaza\u0107, \u017ce nak\u0142adanie si\u0119 na siebie adres\u00f3w IP jest przypadkowe lub – r\u00f3wnie prawdopodobne – \u017ce wcze\u015bniejsze kampanie phishingowe zosta\u0142y zlecone najemnikowi w imieniu rzeczywistego podmiotu stanowi\u0105cego zagro\u017cenie.<\/p>\n

\u0179r\u00f3d\u0142o: <\/em>
\nhttps:\/\/blogs.blackberry.com\/en\/2020\/11\/the-costaricto-campaign-cyber-espionage-outsourced<\/em><\/a><\/p>\n<\/div><\/div><\/div><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":1,"featured_media":6175,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[88,6],"tags":[107],"class_list":["post-6169","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyberbezpieczenstwo","category-wszystkie","tag-bezpieczenstwo-sieci"],"_links":{"self":[{"href":"https:\/\/teneg.pl\/its\/wp-json\/wp\/v2\/posts\/6169","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teneg.pl\/its\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teneg.pl\/its\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teneg.pl\/its\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teneg.pl\/its\/wp-json\/wp\/v2\/comments?post=6169"}],"version-history":[{"count":5,"href":"https:\/\/teneg.pl\/its\/wp-json\/wp\/v2\/posts\/6169\/revisions"}],"predecessor-version":[{"id":19049,"href":"https:\/\/teneg.pl\/its\/wp-json\/wp\/v2\/posts\/6169\/revisions\/19049"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teneg.pl\/its\/wp-json\/wp\/v2\/media\/6175"}],"wp:attachment":[{"href":"https:\/\/teneg.pl\/its\/wp-json\/wp\/v2\/media?parent=6169"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teneg.pl\/its\/wp-json\/wp\/v2\/categories?post=6169"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teneg.pl\/its\/wp-json\/wp\/v2\/tags?post=6169"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}