11.mart, 2015.
Eksperti kompanije Kaspersky Lab otkrili su da sajber napadi sponzorisani na nivou država postaju sve sofisticiraniji i targetiraju pažljivo definisane korisnike sa kompleksnim, modularnim alatima, dok se u isto vreme vešto sakrivaju od sve efektivnijih sistema detekcije.
Ovaj novi trend je potvrđen tokom detaljne analize platforme sajber špijunaže EquationDrug. Specijalisti iz kompanije Kaspersky Lab otkrili su da se, nakon velikog uspeha industrije u otkrivanju naprednih i upornih grupa pretnji (APT), najsofisticiraniji učesnici u napadima sada fokusiraju na rastući broj komponenti na svojim malicioznim platformama.
Najnovije platforme sada sadrže mnoge priključke koji dozvoljavaju da se izabere i izvede spektar različitih funkcija u zavisnosti od targetirane žrtve i informacija koje one poseduju. Kompanija Kaspersky Lab procenjuje da se EquationDrug sastoji iz 116 različitih priključaka.
„Napadači na nivou država su u potrazi za što stabilnijim, nevidljivijim, pouzdanijim i univerzalnijim alatima sajber špijunaže. Fokusiraju se na kreiranje okvira koji bi omogućio da se kod ubaci u nešto što bi moglo da bude prilagođeno živim sistemima i nešto što bi moglo da pruži pouzdan način za skladištenje svih komponenti i podataka u enkriptovanoj formi, nedostupnoj za regularne korisnike“, objašnjava Kostin Raju, direktor globalnog istraživanja i tima za analizu kompanije Kaspersky Lab. „Sofisticiranost okvira čini ove napadače drugačijim od tradicionalnih sajber kriminalaca koji preferiraju da se fokusiraju na platni promet i malware mogućnosti dizajnirane za kreiranje direktne finansijske dobiti.“
Drugi načini koji razdvajaju taktike ovih napadača na nivou država od tradicionalnih sajber kriminalaca obuhvataju:
-
Skala – Tradicionalni sajber kriminalci masovno distribuiraju i-mejlove sa zloćudnim prilozima, mogu da zaraze sajtove u velikom obimu, dok napadači na nivou država preferiraju visoko targetirane napade, čime uglavnom mogu da zaraze samo nekoliko izabranih korisnika.
-
Individualni pristup – Dok tradicionalni sajber kriminalci tipično ponovo koriste javno dostupne izvorne kodove kao što su zloglasni Zeus ili Carberb trojanci, napadači na nivou država grade jedinstveni, prilagođeni štetni program, a čak mogu i da implementiraju zabrane koje sprečavaju dešifrovanje i izvršavanje van targetiranog kompjutera.
-
Ekstrakcija korisnih informacija – Sajber kriminalci generalno pokušavaju da zaraze što više korisnika. Međutim, oni nemaju dovoljno vremena niti prostora da manuelno provere sve mašine koje zaraze, niti da analiziraju ko je njihov vlasnik, koje informacije su skladištene na njima i koji softver koriste, pa tako često ne mogu da prenesu i skladište sve potencijalno interesantne podatke.
-
Posledično, oni kodiraju sve-u-jednom malware kradljivce koji će sa uređaja žrtava izvući samo najvrednije podatke kao što su šifre i brojevi kreditnih kartica. To je aktivnost koja bi brzo privukla pažnju bilo kog instaliranog bezbednosnog softvera.
-
Napadači na nivou države, sa druge strane, imaju resurse da skladište koliko god podataka žele. Kako bi izbegli skretanje pažnje i ostali nevidljivi za bezbednosni softver, pokušavaju da izbegnu da zaraze nasumične korisnike. Umesto toga, oslanjaju se na generični alat za rukovođenje sistemom na daljinu koji može da kopira sve potrebne informacije u bilo kojem obimu. Međutim, taj sistem može da radi i protiv njih, jer pomeranje velike količine podataka može da uspori mrežu i stvori sumnju.
„Možda deluje neobično da sajber špijunske platforme moćne poput Equation Drug ne pokazuju sve sposobnosti krađe kao što je standardno kod zloćudnih softvera. Objašnjenje je da oni više vole da prilagode napad svakoj od svojih žrtava. Samo ako su odlučili da vas aktivno prate, postaviće priključak za živo praćenje vaših konverzacija ili drugih posebnih funkcija koje su u vezi sa vašim aktivnostima. Verujemo da će modularnost i prilagodljivost postati jedinstveni znak raspoznavanja napadača na nivou država u budućnosti”, zaključuje Kostin Raju.
EquationDrug je glavna špijunska platfoma koju je razvila grupa Equation. Koriste je već duže od decenije, iako je sad većinom zamenjena još sofisticiranijom GrayFish platformom. Kompanija Kaspersky Lab je prva primetila taktičke trendove, potvrđene analizom platforme Equation Drug, i to prilikom svog istraživanja sajber špijunskih kampanja Careto i Regin, između ostalih.
Proizvodi kompanije Kaspersky Lab otkrili su brojne pokušaje napada, tipa exploit, na korisnike koje koristi grupa Equation u svom malveru. Mnogi od ovih napada nisu bili uspešni zbog tehnologije automatske odbrane od exploit napada koja generički detektuje i blokira zloupotrebu nepoznatih ranjivosti. Crv Fanny, za koga se smatra da je nastao u julu 2008. godine u okviru Equation platforme, prvi put je otkriven i stavljen na crnu listu našim automatskim sistemima u decembru 2008.
Više o poslednjim istraživanjima o platformi EquationDrug pronaći ćete na Securelist.com