«Лаборатория Касперского» поведала о случаях кибершпионажа, в коих потерпевшими преступников становились их же «конкуренты» — иные группировки, специализирующиеся мотивированными атаками. По текстам профессионалов фирмы, даннаяпрактика крепко затрудняет работу антивирусных специалистов. Ведущей принцип цифровой криминалистики — выявление специфичных для группировок шаблонов и инструментов, на базе коих вслед за тем атрибутируются атаки. Впрочем в случае если киберпреступники начинают взламывать приятель приятеля, красть инструменты, технологии и в том числе и потерпевших, данная модель перестает трудиться. Этим образом, для удачного расследования киберпреступлений нужно выработать свежий расклад.
Некоторое количество примеров такого, как хакеры имеют все шансы применить посторонние технологии в личных целях:
1. Бэкдор в инфраструктуре командных серверов иной группировки
Аппарат бэкдора (инструмента для удаленного управления компом жертвы) во взломанной сети разрешает атакующим каждый день наблюдать за операциями инойдругой группы. «Лаборатория Касперского» заметила как минимальное количество 2 примера аналогичных атак. 1-ый — в 2013 году при анализе сервера китайскоговорящей группировки NetTraveler, атакующей функционеров и организации в Азии. 2 обнаружили в 2014 году при расследовании взлома группировкой Crouching Yeti 1-го из сайтов. Это русскоговорящая группа, еще знаменитая как Energetic Bear, штурмует промышленные фирмы с 2010 года. Ученые отметили, собственно что в направление кое-какого времени тротуар управления сетью командных серверов была изменена при поддержке тэга, который показывал на китайский IP.
2. Совместные взломанные веб-сайты
В 2016 году ученые «Лаборатории Касперского» заприметили, собственно что взломанный корейскоязычной группировкой DarkHotel вебсайт еще содержал эксплойты иной APT-группировки — ScarCruft. Потерпевшими последней в ведущем становились отечественные, китайские и южнокорейские организации. Нападение DarkHotel случилась в апреле 2016 года, а ScarCruft — месяцем позднее. Это разрешает представить, собственно что злоумышленники из ScarCruft наблюдали за операциями DarkHotel, до этого чем приступать к личным.
3. Нападение сквозь посредника
Это, легче говоря, внедрение в операциях инфраструктуры и сведений группировок, которые отлично понимают определенный ареал или же промышленность. При данном кое-какие злоумышленники любят не красть у иных цели, а «делить» их. В ноябре 2014 года «Лаборатория Касперского» заметила, собственно что являющийся собственностью ближневосточному исследовательскому институту сервер, знакомый как «Магнит для угроз», в одно и тоже время содержал импланты групп Regin, Equation Group (англоговорящие), Turla, ItaDuke (италоговорящие), Animal Farm (франкоговорящие) и Careto (испаноговорящие). Кстати, как раз данный сервер стал исходный точкой при обнаружении Equation Group.
«Атрибуция — довольно трудный процесс в том числе и при не плохих критериях, вследствие того собственно что цифровыми уликами просто манипулировать. А ныне мы обязаны дополнительно принимать во внимание, собственно что одни группировки взламывают иные. Все почаще киберпреступники заимствуют у соперников инструменты и потерпевших, заражают собственными имплантами их инфраструктуру и «крадут» чужую идентичность. Приведенные примеры демонстрируют, собственно что почти все из сего уже стало реальностью. Собственно что же остается охотникам за опасностями, коим надобно составить очень максимально совершенную и верную картину происходящего? Аналогично, настало время всерьез подуматьи приспособить свое мышление и способы к свежим условиям, которые воздействуют на тест трудных киберугроз», — что Хуан Андрес Герреро-Сааде, основной противовирусный специалист «Лаборатории Касперского».
Дабы гарантировать наибольшую защиту от киберпреступников, «Лаборатория Касперского» советует фирмам воспользоваться всеохватывающими защитными заключениями с способами обнаружения опасностей свежего поколения. В частности, отстоять собственную инфраструктуру от мотивированных атак несомненно поможет Kaspersky Anti Targeted Attack Platform (KATA). Заключение противоборствует нападениям на всех шагах и способно как выявить уже начавшуюся атаку и минимизировать вред от нее, например и отстоять предприятие от вероятных опасностей, оценив опасности для защищенности в текущей инфраструктуре.
Признать более о том, как кибергруппировки шпионят приятель за ином и какие результаты это тянет для промышленности кибербезопасности, возможно в докладе Walking in your enemy’s shadow: when fourth-party collection becomes attribution hell, приготовленном специалистами «Лаборатории Касперского» для конференции Virus Bulletin 2017. Отчет доступен по ссылке: kasperskycontenthub.com/securelist/files/2017/10/Guerrero-Saade-Raiu-VB2017.pdf.