Dokładna analiza zagrożeń opiera się na identyfikacji schematów i narzędzi wskazujących na określone ugrupowanie cyberprzestępcze. Wiedza ta umożliwia badaczom lepsze mapowanie intencji, celów i zachowania różnych ugrupowań cyberprzestępczych i pomaga organizacjom określić swój poziom ryzyka. W momencie, gdy przestępcy zaczynają hakować się nawzajem i przejmować swoje narzędzia, infrastrukturę, a nawet ofiary, model ten szybko zaczyna się załamywać.

Kaspersky Lab uważa, że takie ataki są prawdopodobnie przeprowadzane głównie przez cyberprzestępców wspieranych przez rządy, a ich celem są zagraniczne lub mniej kompetentne ugrupowania. Ważne jest, aby badacze bezpieczeństwa IT nauczyli się, jak dostrzegać i interpretować oznaki takich ataków, aby móc prezentować swoje analizy w odpowiednim kontekście.

W szczegółowym przeglądzie możliwości przeprowadzania tego rodzaju ataków badacze z zespołu GReAT zidentyfikowali dwa główne podejścia: bierne i aktywne. Ataki bierne polegają na przechwytywaniu danych innych ugrupowań „w ruchu”, np. podczas ich przepływu między ofiarami a serwerami kontroli — i są niemal niemożliwe do wykrycia. Z kolei podejście aktywne polega na infiltrowaniu infrastruktury innego ugrupowania cyberprzestępczego.

Z podejściem aktywnym wiąże się większe ryzyko wykrycia, ale z drugiej strony oferuje ono więcej korzyści, ponieważ pozwala atakującym regularnie uzyskiwać informacje, monitorować cel swoich ataków i jego ofiary, a nawet umieszczać własne szkodliwe moduły lub przeprowadzać ataki „w imieniu” innego ugrupowania (i w efekcie państwa). Sukces działań aktywnych w dużej mierze zależy od błędów popełnionych przez atakowane ugrupowanie w zakresie bezpieczeństwa operacyjnego.

Zespół GReAT odkrył wiele nietypowych i nieoczekiwanych artefaktów podczas prowadzenia dochodzeń dotyczących określonych ugrupowań cyberprzestępczych, które sugerują, że omawiane aktywne ataki mają już miejsce od jakiegoś czasu. Poniżej zamieszczono kilka przykładów:

• Tylne furtki instalowane w infrastrukturze kontroli innego podmiotu Zainstalowanie szkodliwego programu dającego zdalny dostęp (tzw. backdoor) w zhakowanej sieci gwarantuje atakującym długotrwałą obecność wewnątrz operacji innego ugrupowania. Badacze z Kaspersky Lab zidentyfikowali dwa przykłady takich backdoorów wykorzystanych w faktycznych atakach.Jeden z nich został wykryty w 2013 r. podczas analizy serwera wykorzystanego w ramach NetTraveler, chińskojęzycznej kampanii wymierzonej przeciwko aktywistom i organizacjom w Azji. Drugi został zidentyfikowany w 2014 r. podczas badania zhakowanej strony internetowej wykorzystywanej przez Crouching Yeti — rosyjskojęzyczne ugrupowanie atakujące sektor przemysłowy od 2010 r. (znane również jako Energetic Bear). Badacze zauważyli, że przez krótki czas panel zarządzający siecią cyberprzestępczą został zmodyfikowany przy użyciu znacznika, który wskazywał na zdalny adres IP w Chinach (prawdopodobnie była to tzw. fałszywa bandera mająca na celu zmylenie organów ścigania i analityków). Badacze uważają, że również w tym przypadku zastosowano backdoora należącego do innego ugrupowania przestępczego, chociaż nie ma żadnych wskazówek umożliwiających zidentyfikowanie go.

• Współdzielenie zhakowanych stron internetowychW 2016 r. badacze z Kaspersky Lab odkryli, że strona internetowa zhakowana przez koreańskojęzyczne ugrupowanie DarkHotel obejmowała również skrypty innego ugrupowania, ScarCruft, stosującego ataki ukierunkowane wycelowane głównie w organizacje rosyjskie, chińskie oraz południowokoreańskie. Operacja DarkHotel miała miejsce w kwietniu 2016 r., natomiast ataki ScarCruft zostały przeprowadzone miesiąc później, co sugeruje, że ScarCruft mógł zaobserwować ataki DarkHotel przed rozpoczęciem własnych.

• Ataki przez pośrednika Infiltracja ugrupowania o ugruntowanej pozycji w określonym regionie lub sektorze przemysłowym umożliwia atakującym zmniejszenie kosztów i większe sprecyzowanie ataków dzięki specjalistycznej wiedzy swojej ofiary.

Niektóre ugrupowania cyberprzestępcze zamiast podkradać sobie ofiary, dzielą się nimi. Jest to ryzykowane podejście w sytuacji, gdy jedno z ugrupowań jest mniej zaawansowane i zostanie złapane, ponieważ nieunikniona analiza kryminalistyczna, jaka zostanie przeprowadzona, ujawni również pozostałych intruzów. W listopadzie 2014 r. Kaspersky Lab poinformował, że serwer należący do instytucji badawczej na Bliskim Wschodzie, znanej pod nazwą Magnet of Threats, przechowywał jednocześnie szkodliwe moduły dla wysoce zaawansowanych ugrupowań cyberprzestępczych Regin oraz Equation (angielskojęzyczne), Turla i ItaDuke (rosyjskojęzyczne), jak również Animal Farm (francuskojęzyczne) oraz Careto/The Mask (hiszpańskojęzyczne). W rzeczywistości analiza tego serwera zapoczątkowała wykrycie grupy Equation.

Autor: Piotr Kupczyk, Kaspersky Lab