Studiu Symantec: Hackerii profesionisti, gata de angajare
symantecanalizaatacuri cibernetice
In ultimii ani, au aparut o serie de rapoarte care detaliaza activitatile unor actori din spatele diferitelor atacuri cibernetice. Echipa Symantec Security Response a observat in mod continuu un grup pe care il considera unul dintre cele mai revelante din categorie.
„L-am denumit Hidden Lynx – dupa un string (secventa de caractere) pe care l-am identificat in comunicatiile de tip comanda-si-control la nivel de server. Acest grup se defineste printr-o ambitie unica, care o depaseste pe cea a altor grupuri bine-cunoscute, cum ar fi APT1/CommentCrew. Caracteristicile cele mai importante ale acestui grupsunt: cunostinte tehnice, agilitate, organizare, creativitate, rabdare”, spun oficialii Symantec.
Aceste atribute sunt vizibile in cadrul campaniilor constante realizate impotriva mai multor obiective in acelasi timp si pe o perioada sustinuta.
Acesti pionierii "watering hole" (tehnica de ambuscada folosita pentru a distruge obiective) au acces in timp util la ceea ce numim vulnerabilitati „zero-day” si, in acelasi timp, au tenacitatea si rabdarea unui vanator inteligent, vizand compromiterea lantului de aprovizionare si atingerea in mod direct a tintei.
Aceste atacuri asupra lantului de aprovizionare sunt efectuate prin infectarea calculatoarelor unui furnizor tinta. Apoi, le ramane doar sa astepte ca aceste computere infectate sa fie instalate si sa contacteze centrul. In mod clar, aceste actiuni sunt calculate si nu sunt simple incursiuni impulsive ale unor amatori.
Acest grup nu se limiteaza doar la o seriede obiective, ci are in vedere sute deorganizatii din tari diferite, toate in acelasi timp.
„Avand in vedere amploarea, numarul de obiective si tarile implicate, deducem ca acest grup este, cel mai probabil, o organizatie de hackeri profesionisti gata de angajare, subcontractata de diversi clienti pentru a furniza informatii. Vorbim aici de furt de informatie la cerere, indiferent de cerintele clientilor, deci cu o gama variata de obiective”, mai afirma cei de la Symanec.
In prima linie a acestui grup se afla o echipa care utilizeaza instrumentede unica folosinta, impreuna cu tehnici de baza, eficiente pentru a ataca mai multe tinte diferite. Acestia pot actiona, de asemenea, in calitate de colectori de informatii. Am denumit aceasta echipa Moudoor,dupa numele troian-ului pe care il folosesc.
Moudoor este un troian (backdoor) pe care echipa il foloseste din plin, fara a se ingrijora de o eventuala indentificare de catre firmele de securitate.
Cealalta echipa actioneaza ca o unitatede operatiuni speciale, un personal de elita folosit pentru a cuceri cele mai importante sau mai dificile tinte. Echipa de elita foloseste un troian numit Naid si, prin urmare, este cunoscuta sub numele de echipa Naid. Spre deosebire de Moudoor, troianul Naid este utilizat cu moderatie si cu grija, pentru a evita detectarea si capturarea, precum o arma secreta folosita numai atunci cand esecul devine un final posibil.
„Incepand cu 2011, am observat cel putin sase astfel de campanii importante conduse de catre acest grup. Cea mai importanta dintre aceste campanii este campania VOHO, din iunie 2012”, spun oficialii companiei.
Ceea ce a fost diferit in cadrul acestui atac a fost utilizarea tehnicii de watering hole si compromiterea infrastructurii de securite a Bit9. Campania VOHOa targetat subcontractorii guvernului american ale caror sisteme erau protejatede sistemul de protectie software al Bit9.
Atunci cand progresul Hidden Lynx a fost blocat de acest obstacol, acestia si-au reconsiderat rapid optiunile si au constatat ca cea mai buna modalitate de a continua este aceea de a compromite centrul sistemului de protectie in sine. Este exact ceea ce au si facut atunci cand si-au focusat atentia asupra Bit9 si cand le-au atacat sistemele de securitate.
Odata trecut acest obstacol, atacatorii si-au gasit repede drumul in fisierul de infrastructura care statea la baza modelului de protectie Bit9. Apoi, au folosit acest sistem pentru a insera un numar de fisiere malware, acestea folosind, la randul lor, la compromiterea obiectivelor reale.