Выбор редактора

23 октября, Понедельник, 16:10

Шпионские войны: как киберпреступники воруют друг у друга технологии


Изображение с сайта illinois.edu

По словам экспертов компании, эта практика сильно затрудняет работу антивирусных аналитиков. Основной принцип цифровой криминалистики — выявление специфичных для группировок шаблонов и инструментов, на основе которых затем атрибутируются атаки. Однако если киберпреступники начинают взламывать друг друга, воровать инструменты, технологии и даже жертв, эта модель перестает работать.

Таким образом, для успешного расследования киберпреступлений необходимо выработать новый подход.

Несколько примеров того, как хакеры могут использовать чужие технологии в собственных целях:

1. Бэкдор в инфраструктуре командных серверов другой группировки

Установка бэкдора (инструмента для удаленного управления компьютером жертвы) во взломанной сети позволяет атакующим постоянно следить за операциями другой группы. «Лаборатория Касперского» обнаружила как минимум два примера подобных атак.

Первый - в 2013 году при анализе сервера китайскоговорящей группировки NetTraveler, атакующей активистов и организации в Азии.

Второй нашли в 2014 году при расследовании взлома группировкой Crouching Yeti одного из веб-сайтов. Это русскоговорящая группа, также известная как Energetic Bear, атакует промышленные компании с 2010 года. Исследователи заметили, что в течение некоторого времени панель управления сетью командных серверов была изменена при помощи тэга, который указывал на китайский IP.

2. Общие взломанные сайты

В 2016 году исследователи «Лаборатории Касперского» обнаружили, что взломанный корейскоязычной группировкой DarkHotel сайт также содержал эксплойты другой APT-группировки — ScarCruft. Жертвами последней в основном становились российские, китайские и южнокорейские организации.

Атака DarkHotel произошла в апреле 2016 года, а ScarCruft — месяцем позже. Это позволяет предположить, что преступники из ScarCruft следили за операциями DarkHotel, прежде чем приступать к собственным.

3. Атака через посредника

Это, проще говоря, использование в операциях инфраструктуры и сведений группировок, которые хорошо знают конкретный регион или индустрию. При этом некоторые преступники предпочитают не воровать у других цели, а «делить» их.

В ноябре 2014 года «Лаборатория Касперского» обнаружила, что принадлежащий ближневосточному исследовательскому институту сервер, известный как «Магнит для угроз», одновременно содержал импланты групп Regin, Equation Group (англоговорящие), Turla, ItaDuke (италоговорящие), Animal Farm (франкоговорящие) и Careto (испаноговорящие). Кстати, именно этот сервер стал отправной точкой при обнаружении Equation Group.

«Атрибуция — очень сложный процесс даже при хороших условиях, потому что цифровыми уликами легко манипулировать. А теперь мы должны дополнительно учитывать, что одни группировки взламывают другие. Все чаще киберпреступники заимствуют у конкурентов инструменты и жертв, заражают своими имплантами их инфраструктуру и «крадут» чужую идентичность.

Приведенные примеры показывают, что многое из этого уже стало реальностью. Что же остается охотникам за угрозами, которым надо составить максимально полную и точную картину происходящего? Похоже, настало время серьезно задуматься и адаптировать свое мышление и методы к новым условиям, которые влияют на анализ сложных киберугроз», — отметил Хуан Андрес Герреро-Сааде, ведущий антивирусный эксперт «Лаборатории Касперского».

По материалам KM.ru.

Поделиться

Комментарии

Редакция «Брянских новостей» и «Брянской автомобильной газеты» оставляет за собой право удалять комментарии, нарушающие законодательство РФ. Запрещены высказывания, содержащие разжигание этнической и религиозной вражды, призывы к насилию, призывы к свержению конституционного строя, оскорбления конкретных лиц или любых групп граждан. Также удаляются комментарии, которые не удовлетворяют общепринятым нормам морали, преследуют рекламные цели, провоцируют пользователей на неконструктивный диалог, не относятся к комментируемой информации, оскорбляют авторов комментируемого материала, содержат ненормативную лексику. Редакция не несёт ответственности за мнения, высказанные в комментариях читателей.

10:35, 17 ноября 2017

Возле вокзала Брянск-II неизвестный водитель сломал ногу подростку

10:27, 17 ноября 2017

Пьяный брянский водитель загнал свою легковушку под фуру

08:15, 17 ноября 2017

Брянские гаишники добрались до водителей в кафе

В России и мире

20:11, 17 ноября 2017

Майдан в столице НАТО

18:35, 17 ноября 2017

Райкин против Мединского

16:52, 17 ноября 2017

Боевик украинской нацгвардии подорвался на оккупированной территории ДНР

16:38, 17 ноября 2017

Вадим Самойлов спел о роли Навального в революции

15:51, 17 ноября 2017

Варшава начала агитировать другие страны отказаться от газа из РФ

20:40, 17 ноября 2017

Поставленное РФ оружие для армии Сирии досталось террористам

15:21, 17 ноября 2017

Названы худшие дороги Подмосковья

Последние новости

01:17, 18 ноября 2017

В Новозыбкове за 18 миллионов отремонтируют парк

01:09, 18 ноября 2017

В Сельцо открыли тропу здоровья в сосновом лесу

22:20, 17 ноября 2017

В Брянске в школе Чайковского пройдет концерт юных музыкантов

21:33, 17 ноября 2017

Новозыбкову, Почепу и Злынке нашли место в туалете у Красной площади

20:54, 17 ноября 2017

В Брянске 19 ноября начнется чемпионат подводных пловцов

Отклики
читателей

Опрос

Устраивает ли вас новая схема проезда кольцевых развязок?

220 на 320 пикс.<-->