A Kaspersky Lab felfedte a legújabb kiberkémkedési taktikákat

forrás: Prím Online, 2015. március 27. 14:17

A Kaspersky Lab szakértői felfedték, hogy az állam által támogatott kiberkémkedési támadások egyre kifinomultabbak, gondosan kiválasztott felhasználókat céloznak összetett, moduláris eszközökkel, és jól működnek az egyre hatékonyabb érzékelő rendszerek figyelő szemei ellenére. Ezt az új trendet az EquationDrug kiberkémkedési platform alapos elemzése is megerősítette. 

A Kaspersky Lab specialistái azt figyelték meg, hogy miután az iparág egyre sikeresebb a fejlett állandó fenyegetések (APT-k) mögött álló csoportok leleplezésében, a legkifinomultabb fenyegetéseket bevető szereplők most a rosszindulatú platformjuk alkotóelemei számának növelésére helyezik a hangsúlyt annak érdekében, hogy láthatatlanok maradjanak.

 

A legújabb platformok sok bővítményt tartalmaznak, ami lehetővé teszi a számos különböző funkció közül kiválasztani és végrehajtani a megfelelőt, az adott célszemélytől és az általa birtokolt információktól függően. A Kaspersky Lab becslései szerint az EquationDrug 116 különböző bővítményt tartalmaz.

 

Costin Raiu, a Kaspersky Lab globális kutató és elemző csapatának vezetője szerint az állam által szponzorált támadók egyre stabilabb, megbízhatóbb, láthatatlanabb és univerzálisabb kiberkémkedési eszközöket készítenek. Arra összpontosítanak, hogy a kódokat olyan keretrendszerbe csomagolják, amely testreszabható élő rendszerekben, és amely megbízható módot kínál az összes alkotóelem és adat tikosított formában való tárolásához, hozzáférhetetlenné téve azokat a közönséges felhasználók számára. A keretrendszer összetettsége az, amely megkülönbözteti ezeket a szereplőket a hagyományos kiberbűnözőktől, akik a közvetlen pénzügyi nyereség elérését megvalósító malware képességekre fókuszálnak.

 

További tényezők, amelyek megkülönböztetik az állam által szponzorált támadók taktikáját a hagyományos kiberbűnözőkétől:

 

·      Mérték. A hagyományos kiberbűnözők tömegesen terjesztik rosszindulatú csatolmányokkal ellátott e-mailjeiket és nagy számban fertőznek meg weboldalakat, ezzel szemben az állam által támogatott szereplők gondosan célzott, mérnöki pontossággal kiválaszott, csupán maroknyi számú felhasználót fertőznek meg.

 

·      Egyedi megközelítés. Míg a hagyományos kiberbűnözők jellemzően újra felhasználják a nyilvánosan elérhető forráskódokat, például a hírhedt Zeus vagy Carberb trójait. Addig az állam által szponzorált támadók egyedi, testreszabott malware-eket hoznak létre, ráadásul olyan korlátozásokkal, amelyek megakadályozzák a kód célszámítógépen kívüli visszafejtését és végrehajtását.

 

·      Fontos információk kinyerése. Általában a kiberbűnözők annyi felhasználót kísérelnek megfertőzni, amennyit csak lehetséges. Azonban az idő és a tárolási kapacitás hiánya miatt nem tudják ellenőrizni az összes megfertőzött gépet, megállapítani azok tulajdonosát, megvizsgálni a rajtuk tárolt adatokat és futtatott szoftvereket – majd kiválogatni közülük az összes, potenciálisan érdekes információt. Emiatt olyan tolvaj malware-eket készítenek, amelyek csak a legértékesebb adatokat, például a jelszavakat és a bankkártya-számokat szűrik ki az áldozat készülékéről –  ez azonban olyan tevékenység, amellyel azonnal felhívják magukra a telepített biztonsági szoftver figyelmét.

 

Az állam által szponzorált támadók ezzel szemben rendelkeznek a megfelelő erőforrásokkal, hogy annyi adatot tárolhassanak, amennyit csak akarnak. Ahhoz, hogy észrevétlenek maradjanak a biztonsági megoldások számára, elkerülik azt, hogy véletlenszerűen fertőzzenek meg felhasználókat, és egy általánosan használt távoli rendszerfelügyeleti eszközre hagyatkoznak, amely bármilyen és bármennyi információt képes lemásolni, amelyre szükségük lehet. Ugyanakkor ez a megoldás ellenük is fordulhat, hiszen a hatalmas mennyiségű adat lelassíthatja a hálózati kapcsolatot, és gyanút ébreszthet.

 

„Szokatlannak tűnhet, hogy egy olyan erős kiberkémkedési platform, mint az EquationDrug nem tartalmaz minden lopási képességet a malware magjában. Ennek az az oka, hogy minden támadást testreszabnak az áldozattól függően. Csak azt követően, hogy aktívan megfigyeltek minket és hatástalanították a biztonsági megoldásainkat,  kapjuk meg azt a bővítményt, amely lehetővé teszi a beszélgetéseink és más tevékenységeink élő követését. Véleményünk szerint a modularitás és a testreszabhatóság lesz az állam által támogatott támadók egyedi védjegye a jövőben." – mondta Costin Raiu.

 

Az EquationDrug az Equation Group által kifejlesztett fő kémkedési platform. Több, mint egy évtizeden keresztül használták, bár mára nagyrészt átvette a helyét a még nála is kifinomultabb GrayFish. Az EquationDrug elemzése által megerősített taktikai trendeket a Kaspersky Lab tárta fel először, miközben a Careto, a Regin és más kiberkémkedési kampányokat vizsgálta.

 

A Kaspersky Lab termékei számos támadási kísérletet észleltek a felhasználóik ellen, amelyeket a Equation Group malware-eiben alkalmazott kihasználó kódokkal követtek el. Sok ilyen támadás nem járt sikerrel az automatikus kihasználás elleni védelem technológiának köszönhetően, amely felderíti és blokkolja az ismeretlen sebezhetőségek kihasználására tett kísérleteket. A Fanny nevű féreg, amelyet feltehetőleg 2008 júliusában kompiláltak, az Equation platform része, és először a vállalat automatikus rendszerei derítették fel, és helyezték feketelistára 2008 decemberében.