Anatomia cyberprzestępczych syndykatów, cz. 1

Stefanie Hoffman, Fortinet 28-02-2012, 20:51

Oto pierwsza z trzech części nakreślonej przez Dereka Manky'ego z zespołu Fortinet serii, której celem jest przeprowadzenie szczegółowej analizy struktury cyberprzestępczych syndykatów, bieżącej sytuacji w zakresie zagrożeń, która leży u podstaw działalności tych podziemnych organizacji, oraz mechanizmów ochrony organizacji stanowiących cele ataków.

Powszechnie wiadomo, że cyberprzestępczość narodziła się w wyniku przemiany działających w pojedynkę hakerów w doskonale zorganizowane i wydajne siatki, które do osiągnięcia swych przestępczych celów zatrudniają tysiące „pracowników”. Jednak coś pomogło przestępczemu podziemiu. Niespecjalnie zaskakuje więc fakt, że podstawy i struktura poszczególnych elementów cyberprzestępczych syndykatów wzorują się na sprawdzonej w praktyce – i dziwnie znajomej – strukturze zarządzania spotykanej w zwykłych przedsiębiorstwach. Oto krótka, nieco uproszczona analiza.

Partnerzy stowarzyszeni. Gdyby porównać przestępczy syndykat do firmy, pracowników odpowiedzialnych za programy partnerskie można by porównać do menedżerów średniego szczebla – mówi Manky. – Zadaniem partnera jest zainfekowanie jak największej liczby maszyn.

Rekruterzy. Podczas gdy partnerzy odpowiadają za planowanie i przeprowadzanie dużych kampanii z wykorzystaniem złośliwego oprogramowania, większe organizacje w celu zainfekowania ogromnej liczby maszyn aktywnie pozyskują pracowników (szeregowców) i zarządzają nimi.

Szeregowcy. Jak w każdej organizacji, szeregowcy stanowią oddziały najniższego poziomu – to właśnie oni inicjują infekcje na komputerach użytkowników – mówi Manky. Konkretnym zadaniem szeregowców jest więc infekowanie komputerów przy użyciu licznych wektorów ataku, między innymi takich, jak zainfekowane załączniki i pliki PDF, zainfekowane łącza serwisów społecznościowych, ataki z wykorzystaniem technik optymalizacji wyników wyszukiwania (SEO) czy złośliwe strony internetowe.

Portal(e) sieci Web. W celu ułatwienia rekrutacji szeregowców rekruterzy i koordynatorzy programów partnerskich zakładają w pełni funkcjonalne portale sieci Web – często zamknięte, dostępne tylko dla zaproszonych użytkowników fora online zapewniające wszystkie niezbędne narzędzia potrzebne do skutecznego zainicjowania i utrzymania kampanii z wykorzystaniem złośliwego oprogramowania.

Programy. Każdy dobry pracownik powinien dysponować zestawem narzędzi ułatwiających mu realizację zadań służbowych – taki zestaw obejmuje zwykle fałszywe programy antywirusowe, oprogramowanie typu ransomware i adware oraz botnety.

Czytaj także: Kto jest kim w cybergangu?

Jak każda dynamicznie rozwijająca się firma, cyberprzestępcze syndykaty w znacznym stopniu wykorzystują całą gamę popularnych usług, do których należą:

Ogłoszenia. Jednym z najskuteczniejszych sposobów rekrutowania szeregowców jest przeprowadzanie ogólnych kampanii rekrutacyjnych – mówi Manky. – Oferty mogą być publikowane na tablicach ogłoszeniowych w internecie, na forach dyskusyjnych dla hakerów czy za pośrednictwem specjalnych kanałów rozmów IRC.

Usługi przestępcze. W celu zwiększenia zysków większość cyberprzestępczych syndykatów korzysta z usług przestępczych, oferowanych zwykle przez pośredników. Obejmują one usługi w zakresie doradztwa, infekowania lub rozprzestrzeniania infekcji, botnetów lub ich wynajmu, programów partnerskich oraz hostingu na serwerach w kraju i za granicą.

Programiści i producenci oprogramowania. To autorzy złośliwego kodu, którzy tworzą prywatne botnety, fałszywe oprogramowanie antywirusowe, oprogramowanie typu ransomware, systemy wdrażania oraz inne rodzaje kodu wykorzystywane do atakowania i infekowania systemów.

Dostawca usług hostingowych. To miejsce, w którym partner stowarzyszony przechowuje zawartość związaną z atakami: kod, złośliwe oprogramowanie, skradzione dane itd.

Domeny. Domeny funkcjonują w połączeniu z dostawcą usług hostingowych, przekierowując potencjalne ofiary do przechowywanej przez niego złośliwej zawartości.

Powiązania. W celu zapewnienia rozwoju działalności cyberprzestępczego syndykatu konieczne jest powiązanie go z innymi organizacjami/dystrybutorami. W obliczu rosnącej konkurencji zaczynają mieć miejsce fuzje i przejęcia, czego przykładem jest połączenie botnetów Zeus i SpyEye.

Muły pieniężne. Muły pieniężne to zwykle pracownicy dorywczy, których zadaniem jest pranie brudnych zysków syndykatów. Najczęściej rekrutuje się ich za pomocą ogłoszeń i wykorzystuje do anonimowego przenoszenia pieniędzy z kraju do kraju bądź z konta na konto.

Modele biznesowe i monetyzacja. Tak, do sprawnego funkcjonowania na co dzień nielegalna firma również potrzebuje modelu biznesowego. Popularnością cieszą się modele opłat za kliknięcie, za zakup i za instalację, jak również bardziej podstępne metody, np. oprogramowanie typu ransomware/szantażowanie przedsiębiorstw.

Zarządzanie. Kiedy pieniądze zaczną spływać, właściwe zarządzanie staje się kluczem do sukcesu. W celu ustalenia wysokości zysków, liczby zainfekowanych maszyn i skutecznie zaatakowanych kont tworzy się bazy danych i portale sieci Web przeznaczone do zarządzania.

O autorze: Zanim dołączyła do zespołu firmy Fortinet, Stefanie Hoffman pracowała jako reporterka magazynu CRN – zajmowała się tematami dotyczącymi głównych trendów w dziedzinie zabezpieczeń, głośnych przypadków naruszeń bezpieczeństwa danych i ataków z wykorzystaniem złośliwego oprogramowania. Kiedy nie pisze o cyberprzestępczości i nie rozmawia z ekspertami z branży zabezpieczeń, najprawdopodobniej tańczy salsę. Zobacz także: Anatomia cyberprzestępczych syndykatów, cz. 2 oraz Anatomia cyberprzestępczych syndykatów, cz. 3.

Czytaj także: Cyberprzestępcy nie są "maniakami komputerowymi"


Źródło: FortiCamp
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy