Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Съхранение на данните и сигурност

Най-известните хакерски групи (Част 1)

Тези групи са склонни да работят в режим на усъвършенствани постоянни заплахи (APT) - сложни и непрекъснати опити за проникване в системата

от , 22 юни 2018 0 1949 прочитания,

В днешно време постоянно ставаме свидетели на все по-сложни и усъвършенствани кибератаки, често използващи персонализирани инструменти, насочени към хора, компании и дори цели държави. От дръзки посегателства, които карат банкомати на улицата да пускат пари неконтролируемо, до добре премерени кампании срещу публични личности и институции, тези атаки често се ръководят от специализирани групи, работещи с правителствена благословия, като част от тях дори функционират като разузнавателен инструмент на някои държави. Тъй като подобни организации работят в изключително трудна за проникване среда, информацията за тях не е особено обширна, но благодарение на отдадеността на изследователите в областта на сигурността завесата не е толкова плътно спусната и с всеки изминал ден научаваме все повече за това как функционират тези групи, какви са хората в тях, къде се намират, как работят и какво ги мотивира.

Нещото, което отличава изброените организации от останалите, е склонността им да работят в режим на усъвършенствани постоянни заплахи (APT) - сложни опити за хакерство, които се извършват непрекъснато, и обикновено са насочени към определен човек, бизнес или държава.

APT групите се различават в мотивите си - биха могли да извършват кибершпионаж за кражба на политическа или корпоративна информация (обикновено в чувствителни индустрии или организации от публичния сектор), биха могли да бъдат спонсорирани от определена държава или да са пряка нейна функция. Една APT група може да бъде и финансово мотивирана, като основната цел на нейните действия в този случай са свързани с неправомерен достъп до чужди сметки и активи. Не на последно място, целта на една такава структура може да бъде и разпространението на дезинформация.

Прочетете още: Призванието етичен хакер – въпрос на морал и лоялност

При всички случаи обаче сериозните хакерски групи използват собствени персонализирани инструменти и злонамерен софтуер, които често са изключително сложни и професионално направени. В повечето случаи те разполагат със собствена, понякога огромна командна и контролна инфраструктура, което прави идентифицирането им изключително трудно, тъй като хакерите лесно прикриват местонахождението си, а в немалко случаи провеждат и операции под “чужд флаг” (стратегия, при която вината се прехвърля на трета страна).

Както казахме, APT групите са потайни организации, но благодарение на упоритата работа на изследователите от общността infosec в следващите редове ще ви запознаем с някои подробности за най-известните хакерски групи като Fancy Bear и Reaper.

The Shadow Brokers

През 2017 г. беше почти невъзможно да се отговори на криптовирусите WannaCry и NotPetya, които предизвикаха големи главоболия на ИТ инфраструктурата и бизнеса по целия свят. Тези атаки бяха базирани на експлойт, наречен EternalBlue и разработен от Американската агенция за национална сигурност (NSA), който използва слабост в протокола Server Message Block на Microsoft (след като откриват пропускът, NSA решава да го използва, вместо да информира компанията).

Групата, наречена Shadow Brokers, получава файловете на NSA през 2013 г., като ги извлича директно от сървърите на агенцията. Откраднатата информация включва всички видове експлойти, които NSA разработва и съхранява.



Първата информация за групата се появява през август 2016 г., когато тя влиза в контакт с друга организация, наречена Equation Group, за която се смята, че е базирана в САЩ и стои зад създаването на изключително опасния код Stuxnet, който разруши иранските ядрени центрофуги.

Малко по-късно, базираните на EternalBlue криптовируси WannaCry и Petya заразяват над 200 000 устройства по целия свят само през първите две седмици от пускането си. Тогава групата предупреди, че има достъп до още оръжия и експлойти и заплаши да пуска нова заплаха всеки месец.

Никой не знае със сигурност откъде произхожда групата Shadow Brokers, но теориите включват дори вътрешен човек в рамките на групата Tailored Access Operations, която е звено на NSA. Станалият известен с разкритията си Едуард Сноуден пък смята, че "конвенционалната мъдрост говори за руска отговорност" и добавя, че според него това са предупредителни изстрели към САЩ.

Lazarus Group

Мистериозната организация Lazarus Group се предполага, че стои зад атаката срещу Централната банка на Бангладеш, при която бяха източени 81 милиона долара през 2016 г. За тази група не се знае много, но от доставчика на решения за киберсигурност Kaspersky следят нейната дейност повече от година.

От следите, които групата е оставили при атаките срещу банки от Югоизточна Азия и Европа, могат да се направят предположения, че тя атакува финансови институции, казина, разработчици на софтуер и бизнеса, свързан с криптовалути.

Според Kaspersky типичната анатомия на атаките на Lazarus Group има на четири етапа. Първият е първоначалното компрометиране, при което системата на набелязаната цел се пробива дистанционно чрез код или експлойт, интегриран в определен уебсайт. Служител, жертва на социално инженерство, изтегля зловредния софтуер, като по този начин позволява на групата да инсталира допълнителен злонамерен софтуер във вече компрометираната система.



След това хакерите мигрират към други банкови хостове и поставят след себе си отворени “задни вратички”. Следващото действие е свързано с разузнаването на мрежата и маркирането на ценни вътрешни ресурси като резервни сървъри с идентификационни данни и удостоверителна информация.

В четвъртата фаза на атаката групата разгръща злонамерен софтуер, специално разработен, за да заобиколи системите за сигурност на жертвата, и започва да извършва трансакции през реалните банкови акаунти.

Никой не знае със сигурност откъде оперира Lazarus Group, но на базата на изследвания на колекцията от семпли на зловреден софтуер от Kaspersky откриват странна връзка със сървър за команди и контрол с “много рядък" IP адрес в Северна Корея. Според тях това води до три версии - атакуващите наистина са свързани със Северна Корея, това е "внимателно планирана" кампания под фалшив флаг или някой в Северна Корея случайно е посетил командния URL адрес.

Групата все още е действаща.

Equation Group

Според Kaspersky Equation Group държат короната в кибершпионажа и се свързват със сенчестия отдел на NSA - Tailored Access Operations. Групата е свързвана и със Stuxnet - изключително сложната атака, особено за времето си, която успешно унищожи ядрените центрофуги на Иран, въпреки че според експертите групата по-скоро е информирала за атаката, отколкото да я е извършила.

От Kaspersky определят групата като “уникална в почти всеки аспект от дейността си”, тъй като използва изключително сложни и скъпи инструменти за извличане на данни, като след това прикриват следите си “по много професионален начин”.

Както споменахме във въведението за Shadow Brokers, някои от най-вредните кибератаки, които светът някога е виждал, произхождат от един експлойт, разработен от NSA. Така че за експертите е ясно, че Equation Group има богата библиотека от троянски коне, които са известни, и вероятно много повече, които не са.



Освен това, групата изглежда, че използва и някои доста традиционни методи за шпиониране, за да пробие пътя си към системите на жертвите. В един от случаите например физически прихваща CD-ROM, който е изпратен до присъстващите на научна конференция в Хюстън, и го заменя с копие, заразено с червея DoubleFantasy.

Групата поддържа голяма инфраструктура за управление на сървъри, като има на разположение повече от 100 сървъра и 300 домейна, включително хостове в страни като САЩ, Великобритания, Панама, Коста Рика, Колумбия, Германия и Холандия.

Жертвите на Equation Group са специфични, включително (но не само) правителствени и дипломатически институции, телекомуникационни компании, авиация, енергетика, ядрени изследвания, нефт и газ, военни, нанотехнологии, ислямски активисти и учени, медии, транспорт, финанси и компании, работещи с криптовалути.

 Очаквайте продължение!

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов