SG.hu
Az államok által szponzorálva születnek a moduláris vírusok
A Kaspersky Lab szakértői felfedték, hogy az állam által támogatott kiberkémkedési támadások egyre kifinomultabbak, gondosan kiválasztott felhasználókat céloznak összetett, moduláris eszközökkel, és jól működnek az egyre hatékonyabb érzékelő rendszerek figyelő szemei ellenére.
Ezt az új trendet az EquationDrug kiberkémkedési platform alapos elemzése is megerősítette. A Kaspersky Lab specialistái azt figyelték meg, hogy miután az iparág egyre sikeresebb a fejlett állandó fenyegetések (APT-k) mögött álló csoportok leleplezésében, a legkifinomultabb fenyegetéseket bevető szereplők most a rosszindulatú platformjuk alkotóelemei számának növelésére helyezik a hangsúlyt annak érdekében, hogy láthatatlanok maradjanak. A legújabb platformok sok bővítményt tartalmaznak, ami lehetővé teszi a számos különböző funkció közül kiválasztani és végrehajtani a megfelelőt, az adott célszemélytől és az általa birtokolt információktól függően. A cég becslései szerint az EquationDrug 116 különböző bővítményt tartalmaz.
“Az állam által szponzorált támadók egyre stabilabb, megbízhatóbb, láthatatlanabb és univerzálisabb kiberkémkedési eszközöket készítenek. Arra összpontosítanak, hogy a kódokat olyan keretrendszerbe csomagolják, amely testreszabható élő rendszerekben, és amely megbízható módot kínál az összes alkotóelem és adat tikosított formában való tárolásához, hozzáférhetetlenné téve azokat a közönséges felhasználók számára.”- magyarázta Costin Raiu, a Kaspersky Lab globális kutató és elemző csapatának vezetője. A keretrendszer összetettsége az, amely megkülönbözteti ezeket a szereplőket a hagyományos kiberbűnözőktől, akik a közvetlen pénzügyi nyereség elérését megvalósító malware képességekre fókuszálnak.”
Míg a hagyományos kiberbűnözők tömegesen terjesztik rosszindulatú csatolmányokkal ellátott e-mailjeiket és nagy számban fertőznek meg weboldalakat, ezzel szemben az állam által támogatott szereplők gondosan célzott, mérnöki pontossággal kiválaszott, csupán maroknyi számú felhasználót fertőznek meg. Szintén eltérés az egyedi megközelítés. A hagyományos kiberbűnözők jellemzően újra felhasználják a nyilvánosan elérhető forráskódokat, például a hírhedt Zeus vagy Carberb trójait, addig az állam által szponzorált támadók egyedi, testreszabott malware-eket hoznak létre, ráadásul olyan korlátozásokkal, amelyek megakadályozzák a kód célszámítógépen kívüli visszafejtését és végrehajtását.
A csoport által létrehozott malware-család
Általában a kiberbűnözők annyi felhasználót kísérelnek megfertőzni, amennyit csak lehetséges. Azonban az idő és a tárolási kapacitás hiánya miatt nem tudják ellenőrizni az összes megfertőzött gépet, megállapítani azok tulajdonosát, megvizsgálni a rajtuk tárolt adatokat és futtatott szoftvereket – majd kiválogatni közülük az összes, potenciálisan érdekes információt. Emiatt olyan tolvaj malware-eket készítenek, amelyek csak a legértékesebb adatokat, például a jelszavakat és a bankkártya-számokat szűrik ki az áldozat készülékéről – ez azonban olyan tevékenység, amellyel azonnal felhívják magukra a telepített biztonsági szoftver figyelmét.
Az állam által szponzorált támadók ezzel szemben rendelkeznek a megfelelő erőforrásokkal, hogy annyi adatot tárolhassanak, amennyit csak akarnak. Ahhoz, hogy észrevétlenek maradjanak a biztonsági megoldások számára, elkerülik azt, hogy véletlenszerűen fertőzzenek meg felhasználókat, és egy általánosan használt távoli rendszerfelügyeleti eszközre hagyatkoznak, amely bármilyen és bármennyi információt képes lemásolni, amelyre szükségük lehet. Ugyanakkor ez a megoldás ellenük is fordulhat, hiszen a hatalmas mennyiségű adat lelassíthatja a hálózati kapcsolatot, és gyanút ébreszthet.
“Szokatlannak tűnhet, hogy egy olyan erős kiberkémkedési platform, mint az EquationDrug nem tartalmaz minden lopási képességet a malware magjában. Ennek az az oka, hogy minden támadást testreszabnak az áldozattól függően. Csak azt követően, hogy aktívan megfigyeltek minket és hatástalanították a biztonsági megoldásainkat, kapjuk meg azt a bővítményt, amely lehetővé teszi a beszélgetéseink és más tevékenységeink élő követését. Véleményünk szerint a modularitás és a testreszabhatóság lesz az állam által támogatott támadók egyedi védjegye a jövőben.” – mondta Costin Raiu.
Ezt az új trendet az EquationDrug kiberkémkedési platform alapos elemzése is megerősítette. A Kaspersky Lab specialistái azt figyelték meg, hogy miután az iparág egyre sikeresebb a fejlett állandó fenyegetések (APT-k) mögött álló csoportok leleplezésében, a legkifinomultabb fenyegetéseket bevető szereplők most a rosszindulatú platformjuk alkotóelemei számának növelésére helyezik a hangsúlyt annak érdekében, hogy láthatatlanok maradjanak. A legújabb platformok sok bővítményt tartalmaznak, ami lehetővé teszi a számos különböző funkció közül kiválasztani és végrehajtani a megfelelőt, az adott célszemélytől és az általa birtokolt információktól függően. A cég becslései szerint az EquationDrug 116 különböző bővítményt tartalmaz.
“Az állam által szponzorált támadók egyre stabilabb, megbízhatóbb, láthatatlanabb és univerzálisabb kiberkémkedési eszközöket készítenek. Arra összpontosítanak, hogy a kódokat olyan keretrendszerbe csomagolják, amely testreszabható élő rendszerekben, és amely megbízható módot kínál az összes alkotóelem és adat tikosított formában való tárolásához, hozzáférhetetlenné téve azokat a közönséges felhasználók számára.”- magyarázta Costin Raiu, a Kaspersky Lab globális kutató és elemző csapatának vezetője. A keretrendszer összetettsége az, amely megkülönbözteti ezeket a szereplőket a hagyományos kiberbűnözőktől, akik a közvetlen pénzügyi nyereség elérését megvalósító malware képességekre fókuszálnak.”
Míg a hagyományos kiberbűnözők tömegesen terjesztik rosszindulatú csatolmányokkal ellátott e-mailjeiket és nagy számban fertőznek meg weboldalakat, ezzel szemben az állam által támogatott szereplők gondosan célzott, mérnöki pontossággal kiválaszott, csupán maroknyi számú felhasználót fertőznek meg. Szintén eltérés az egyedi megközelítés. A hagyományos kiberbűnözők jellemzően újra felhasználják a nyilvánosan elérhető forráskódokat, például a hírhedt Zeus vagy Carberb trójait, addig az állam által szponzorált támadók egyedi, testreszabott malware-eket hoznak létre, ráadásul olyan korlátozásokkal, amelyek megakadályozzák a kód célszámítógépen kívüli visszafejtését és végrehajtását.
A csoport által létrehozott malware-család
Általában a kiberbűnözők annyi felhasználót kísérelnek megfertőzni, amennyit csak lehetséges. Azonban az idő és a tárolási kapacitás hiánya miatt nem tudják ellenőrizni az összes megfertőzött gépet, megállapítani azok tulajdonosát, megvizsgálni a rajtuk tárolt adatokat és futtatott szoftvereket – majd kiválogatni közülük az összes, potenciálisan érdekes információt. Emiatt olyan tolvaj malware-eket készítenek, amelyek csak a legértékesebb adatokat, például a jelszavakat és a bankkártya-számokat szűrik ki az áldozat készülékéről – ez azonban olyan tevékenység, amellyel azonnal felhívják magukra a telepített biztonsági szoftver figyelmét.
Az állam által szponzorált támadók ezzel szemben rendelkeznek a megfelelő erőforrásokkal, hogy annyi adatot tárolhassanak, amennyit csak akarnak. Ahhoz, hogy észrevétlenek maradjanak a biztonsági megoldások számára, elkerülik azt, hogy véletlenszerűen fertőzzenek meg felhasználókat, és egy általánosan használt távoli rendszerfelügyeleti eszközre hagyatkoznak, amely bármilyen és bármennyi információt képes lemásolni, amelyre szükségük lehet. Ugyanakkor ez a megoldás ellenük is fordulhat, hiszen a hatalmas mennyiségű adat lelassíthatja a hálózati kapcsolatot, és gyanút ébreszthet.
“Szokatlannak tűnhet, hogy egy olyan erős kiberkémkedési platform, mint az EquationDrug nem tartalmaz minden lopási képességet a malware magjában. Ennek az az oka, hogy minden támadást testreszabnak az áldozattól függően. Csak azt követően, hogy aktívan megfigyeltek minket és hatástalanították a biztonsági megoldásainkat, kapjuk meg azt a bővítményt, amely lehetővé teszi a beszélgetéseink és más tevékenységeink élő követését. Véleményünk szerint a modularitás és a testreszabhatóság lesz az állam által támogatott támadók egyedi védjegye a jövőben.” – mondta Costin Raiu.