Опубликовано

Шпионские войны: как киберпреступники крадут приятель у приятеля технологии

«Лаборатория Касперского» поведала о случаях кибершпионажа, в коих потерпевшими преступников становились их же «конкуренты» — иные группировки, специализирующиеся мотивированными атаками. По текстам профессионалов фирмыданнаяпрактика крепко затрудняет работу антивирусных специалистовВедущей принцип цифровой криминалистики — выявление специфичных для группировок шаблонов и инструментов, на базе коих вслед за тем атрибутируются атаки. Впрочем в случае если киберпреступники начинают взламывать приятель приятелякрасть инструменты, технологии и в том числе и потерпевшихданная модель перестает трудитьсяЭтим образом, для удачного расследования киберпреступлений нужно выработать свежий расклад.

Некоторое количество примеров такого, как хакеры имеют все шансы применить посторонние технологии в личных целях:

1. Бэкдор в инфраструктуре командных серверов иной группировки

Аппарат бэкдора (инструмента для удаленного управления компом жертвы) во взломанной сети разрешает атакующим каждый день наблюдать за операциями инойдругой группы. «Лаборатория Касперского» заметила как минимальное количество 2 примера аналогичных атак. 1-ый — в 2013 году при анализе сервера китайскоговорящей группировки NetTraveler, атакующей функционеров и организации в Азии. 2 обнаружили в 2014 году при расследовании взлома группировкой Crouching Yeti 1-го из сайтов. Это русскоговорящая группа, еще знаменитая как Energetic Bear, штурмует промышленные фирмы с 2010 года. Ученые отметилисобственно что в направление кое-какого времени тротуар управления сетью командных серверов была изменена при поддержке тэга, который показывал на китайский IP.

2. Совместные взломанные веб-сайты

В 2016 году ученые «Лаборатории Касперского» заприметилисобственно что взломанный корейскоязычной группировкой DarkHotel вебсайт еще содержал эксплойты иной APT-группировки — ScarCruft. Потерпевшими последней в ведущем становились отечественные, китайские и южнокорейские организации. Нападение DarkHotel случилась в апреле 2016 года, а ScarCruft — месяцем позднее. Это разрешает представитьсобственно что злоумышленники из ScarCruft наблюдали за операциями DarkHotel, до этого чем приступать к личным.

3. Нападение сквозь посредника

Это, легче говоря, внедрение в операциях инфраструктуры и сведений группировок, которые отлично понимают определенный ареал или же промышленность. При данном кое-какие злоумышленники любят не красть у иных цели, а «делить» их. В ноябре 2014 года «Лаборатория Касперского» заметиласобственно что являющийся собственностью ближневосточному исследовательскому институту сервер, знакомый как «Магнит для угроз», в одно и тоже время содержал импланты групп Regin, Equation Group (англоговорящие), Turla, ItaDuke (италоговорящие), Animal Farm (франкоговорящие) и Careto (испаноговорящие). Кстатикак раз данный сервер стал исходный точкой при обнаружении Equation Group.

«Атрибуция — довольно трудный процесс в том числе и при не плохих критерияхвследствие того собственно что цифровыми уликами просто манипулировать. А ныне мы обязаны дополнительно принимать во вниманиесобственно что одни группировки взламывают иные. Все почаще киберпреступники заимствуют у соперников инструменты и потерпевших, заражают собственными имплантами их инфраструктуру и «крадут» чужую идентичность. Приведенные примеры демонстрируютсобственно что почти все из сего уже стало реальностью. Собственно что же остается охотникам за опасностямикоим надобно составить очень максимально совершенную и верную картину происходящего? Аналогично, настало время всерьез подуматьи приспособить свое мышление и способы к свежим условиям, которые воздействуют на тест трудных киберугроз», — что Хуан Андрес Герреро-Сааде, основной противовирусный специалист «Лаборатории Касперского».

Дабы гарантировать наибольшую защиту от киберпреступников, «Лаборатория Касперского» советует фирмам воспользоваться всеохватывающими защитными заключениями с способами обнаружения опасностей свежего поколения. В частности, отстоять собственную инфраструктуру от мотивированных атак несомненно поможет Kaspersky Anti Targeted Attack Platform (KATA). Заключение противоборствует нападениям на всех шагах и способно как выявить уже начавшуюся атаку и минимизировать вред от нее, например и отстоять предприятие от вероятных опасностей, оценив опасности для защищенности в текущей инфраструктуре.

Признать более о том, как кибергруппировки шпионят приятель за ином и какие результаты это тянет для промышленности кибербезопасности, возможно в докладе Walking in your enemy’s shadow: when fourth-party collection becomes attribution hell, приготовленном специалистами «Лаборатории Касперского» для конференции Virus Bulletin 2017. Отчет доступен по ссылке: kasperskycontenthub.com/securelist/files/2017/10/Guerrero-Saade-Raiu-VB2017.pdf.

Share Button