Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Съхранение на данните и сигурност

Най-известните хакерски групи (Част 2)

Тези групи са склонни да работят в режим на усъвършенствани постоянни заплахи (APT) - сложни и непрекъснати опити за проникване в системата

от , 26 юни 2018 0 1696 прочитания,

Във втората част на този материал читателите могат да се запознаят с още четири от основните формирования, които през последните години накараха много хора да потръпват като чуят думата “хакер”.

Carbanak / Fin7

Група с кодово име Carbanak е издирвана от международните агенции в продължение на поне пет години, след като успя да открадне над 1 милиард долара с поредица кибератаки и незаконни манипулации на банкомати. През март 2018 г. от Европол обявиха, че са успял да заловят водача на групата в Аликанте, Испания след съвместно международно разследване. Името на предполагаемия лидер на Carbanak не беше съобщено.

Прочетете още: Най-известните хакерски групи (Част 1)


 

Иначе Carbanak, наричани още Fin7, организираха силно персонализирани фишинг кампании, за да подмамят множество банкови служители да изтеглят злонамерен софтуер. От края на 2013 г. бандата използва свои собствени разработки на зловреден софтуер - Anunak и Carbanak - а след това и модифицирана версия на софтуер за тестване на сигурността, наречен Cobalt Strike.

Първите цели на групата бяха предимно на територията на Русия, но с течение на времето се насочиха и към САЩ, Германия, Китай и Украйна. В крайна сметка те насочват вниманието си към банки в повече от 40 страни, създавайки вълна от кибер-престъпност, като модифицираната атака срещу с Cobalt позволява на Carbanak да генерират по над 10 милиона евро на удар.

Гениалните атаки срещу банкомати пък позволиха на групата да накара машините да раздават пари, без да взаимодейства по никакъв начин със самия терминал. Парите са събирани от т.нар. мулето, които след това ги прехвърлят във финансовата мрежа на SWIFT, а оттам – към сметките на групата.

От доставчика на решения за сигурност FireEye отбелязват, че групата не се е поколебала да насочи своята фишинг кампания дори към Комисията по ценните книжа и борсите на САЩ.

APT37 / Reaper

Според разширени проучвания на FireEye, звеното за кибер-шпионаж, базирано в Северна Корея - Advanced Persistent Threat 37, известно още като Reaper, сасилва своята дейност в началото на 2018 г. и продължава да организира кампании, насочени към цели държави и близки до тях организации. През 2017 г. групата се е насочила към компании от Близкия Изток, които работят със Северна Корея по съвместен проект за подобряване на телекомуникационните услуги в страната. Тя усъвършенства инструментите си и с атаки срещу виетнамски търговски компании и дори срещу частни лица, работещи в олимпийски организации.



Според FireEye в допълнение към операциите, свързани с кибер-шпионаж, групата е насочена и към идентифициране на бежанци от КНДР, което предполага тясна обвързаност с държавния апарат в Пхенян.

Атакуващите от Reaper използват уязвимости в процесора Hangul Word Processor, който е широко разпространен в Южна Корея. Хакерите използват компрометираните сървъри, както и облачна инфраструктура, за да прикрият действията си и да избегнат евентуално разкриване и проследяване, като в същия момент инсталират злонамерен софтуер на компрометирани, но легитимни уеб сайтове. Имейл акаунтите, използвани за развиване на кампаниите, идват както от домейни, свързани с Южна Корея, така и от други доставчици като Gmail и руската Yandex.

От FireEye твърдят, че с "висока точност" могат да кажат, че групата действа "в подкрепа на правителството на Северна Корея и се намира именно там". Изследователите стигат до това заключение по редица причини, една от които е фактът, че подозренията за разработването на специализирания софтуер, който използва групата, падат върху конкретен специалист, свързан с Пхенян.

Iron Tiger APT

След поредица от сложни и силно персонализирани атаки в Азиатско-тихоокеанския регион, насочени към политици и правителствени агенции в Китай, Хонг Конг, Филипините и Тибет, групата, наречена Iron Tiger, обяви, че се насочва към цели в САЩ, включително контрактори на американското правителство в сферите на космическата индустрия, разузнаването, телекомуникациите и ядрената енергетика.



Доклад на Trend Micro предполага, че атаките идват от Китай, тъй като VPN сървърите, използвани за стартирането им, са основно базирани в региона, а използваните имена и пароли са на китайски език, както и текстовите ресурси и езиковите идентификатори на използвания зловреден софтуер. Данните за използваните домейни също сочат, че те са регистрирани на физически адреси в Китай. Според Trend Micro успехът на групата се дължи на човек, наречен Гуо Фей, който е базиран в Шанхай.

През февруари 2018 г., от BitDefender откриват вариации на троянския кон Gh0st RAT, използвани в операции на Iron Tiger през юли 2017 г. Те представляват персонализирана част от зловредния софтуер PZChao, което говори за потенциално завръщане на групата, която не даваше признаци за живот в последните няколко години.

Fancy Bear/APT28

Един списък на ATP групите няма как да е изчерпателен, без да се спомене името на хакерското формирование Fancy Bear, за което се твърди, че е играло основна роля в атаките срещу Демократичния национален комитет на САЩ в хода на последните избори, въпреки че това беше оспорено от хакер с прякор Guccifer 2.0.

От доставчика на решения за сигурност в крайната точка CrowdStrike разкриват, че групата е активна от 2008 г. насам и е насочена към всички чувствителни сектори - отбрана, енергетика, правителства, медии и др. Според изследователите Fancy Bear най-малкото е спонсорирана на държавно ниво, като за най-вероятен спонсор е сочена Русия.



Групата е в състояние да изпълнява различни операции в едно и също време, като разполага със свои собствени, персонализирани инструменти за атака. Те са мултифункционални и могат да засегнат както персонални компютри, така и мобилни устройства.

Групата Fancy Bear беше свързана и с кампания срещу германския парламент, както и с прихващане на трафика към уебсайт на правителството на Нигерия. Не на последно място, Fancy Bear се опита да пробие дори системите на украинската армия. Те също така са разработили специализиран злонамерен софтуер, насочен към устройства на Apple, който тайно записва текстови съобщения и аудио запис.


КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов