A Kaspersky Lab felfedte a legújabb kiberkémkedési taktikákat

forrás: Prím Online, 2015. március 27. 14:17

A Kaspersky Lab szakértői felfedték, hogy az állam által támogatott kiberkémkedési támadások egyre kifinomultabbak, gondosan kiválasztott felhasználókat céloznak összetett, moduláris eszközökkel, és jól működnek az egyre hatékonyabb érzékelő rendszerek figyelő szemei ellenére. Ezt az új trendet az EquationDrug kiberkémkedési platform alapos elemzése is megerősítette. 

A Kaspersky Lab specialistái azt figyelték meg, hogy miután az iparág egyre sikeresebb a fejlett állandó fenyegetések (APT-k) mögött álló csoportok leleplezésében, a legkifinomultabb fenyegetéseket bevető szereplők most a rosszindulatú platformjuk alkotóelemei számának növelésére helyezik a hangsúlyt annak érdekében, hogy láthatatlanok maradjanak.

 

A legújabb platformok sok bővítményt tartalmaznak, ami lehetővé teszi a számos különböző funkció közül kiválasztani és végrehajtani a megfelelőt, az adott célszemélytől és az általa birtokolt információktól függően. A Kaspersky Lab becslései szerint az EquationDrug 116 különböző bővítményt tartalmaz.

 

Costin Raiu, a Kaspersky Lab globális kutató és elemző csapatának vezetője szerint az állam által szponzorált támadók egyre stabilabb, megbízhatóbb, láthatatlanabb és univerzálisabb kiberkémkedési eszközöket készítenek. Arra összpontosítanak, hogy a kódokat olyan keretrendszerbe csomagolják, amely testreszabható élő rendszerekben, és amely megbízható módot kínál az összes alkotóelem és adat tikosított formában való tárolásához, hozzáférhetetlenné téve azokat a közönséges felhasználók számára. A keretrendszer összetettsége az, amely megkülönbözteti ezeket a szereplőket a hagyományos kiberbűnözőktől, akik a közvetlen pénzügyi nyereség elérését megvalósító malware képességekre fókuszálnak.

 

További tényezők, amelyek megkülönböztetik az állam által szponzorált támadók taktikáját a hagyományos kiberbűnözőkétől:

 

·      Mérték. A hagyományos kiberbűnözők tömegesen terjesztik rosszindulatú csatolmányokkal ellátott e-mailjeiket és nagy számban fertőznek meg weboldalakat, ezzel szemben az állam által támogatott szereplők gondosan célzott, mérnöki pontossággal kiválaszott, csupán maroknyi számú felhasználót fertőznek meg.

 

·      Egyedi megközelítés. Míg a hagyományos kiberbűnözők jellemzően újra felhasználják a nyilvánosan elérhető forráskódokat, például a hírhedt Zeus vagy Carberb trójait. Addig az állam által szponzorált támadók egyedi, testreszabott malware-eket hoznak létre, ráadásul olyan korlátozásokkal, amelyek megakadályozzák a kód célszámítógépen kívüli visszafejtését és végrehajtását.

 

·      Fontos információk kinyerése. Általában a kiberbűnözők annyi felhasználót kísérelnek megfertőzni, amennyit csak lehetséges. Azonban az idő és a tárolási kapacitás hiánya miatt nem tudják ellenőrizni az összes megfertőzött gépet, megállapítani azok tulajdonosát, megvizsgálni a rajtuk tárolt adatokat és futtatott szoftvereket – majd kiválogatni közülük az összes, potenciálisan érdekes információt. Emiatt olyan tolvaj malware-eket készítenek, amelyek csak a legértékesebb adatokat, például a jelszavakat és a bankkártya-számokat szűrik ki az áldozat készülékéről –  ez azonban olyan tevékenység, amellyel azonnal felhívják magukra a telepített biztonsági szoftver figyelmét.

 

Az állam által szponzorált támadók ezzel szemben rendelkeznek a megfelelő erőforrásokkal, hogy annyi adatot tárolhassanak, amennyit csak akarnak. Ahhoz, hogy észrevétlenek maradjanak a biztonsági megoldások számára, elkerülik azt, hogy véletlenszerűen fertőzzenek meg felhasználókat, és egy általánosan használt távoli rendszerfelügyeleti eszközre hagyatkoznak, amely bármilyen és bármennyi információt képes lemásolni, amelyre szükségük lehet. Ugyanakkor ez a megoldás ellenük is fordulhat, hiszen a hatalmas mennyiségű adat lelassíthatja a hálózati kapcsolatot, és gyanút ébreszthet.

 

„Szokatlannak tűnhet, hogy egy olyan erős kiberkémkedési platform, mint az EquationDrug nem tartalmaz minden lopási képességet a malware magjában. Ennek az az oka, hogy minden támadást testreszabnak az áldozattól függően. Csak azt követően, hogy aktívan megfigyeltek minket és hatástalanították a biztonsági megoldásainkat,  kapjuk meg azt a bővítményt, amely lehetővé teszi a beszélgetéseink és más tevékenységeink élő követését. Véleményünk szerint a modularitás és a testreszabhatóság lesz az állam által támogatott támadók egyedi védjegye a jövőben." – mondta Costin Raiu.

 

Az EquationDrug az Equation Group által kifejlesztett fő kémkedési platform. Több, mint egy évtizeden keresztül használták, bár mára nagyrészt átvette a helyét a még nála is kifinomultabb GrayFish. Az EquationDrug elemzése által megerősített taktikai trendeket a Kaspersky Lab tárta fel először, miközben a Careto, a Regin és más kiberkémkedési kampányokat vizsgálta.

 

A Kaspersky Lab termékei számos támadási kísérletet észleltek a felhasználóik ellen, amelyeket a Equation Group malware-eiben alkalmazott kihasználó kódokkal követtek el. Sok ilyen támadás nem járt sikerrel az automatikus kihasználás elleni védelem technológiának köszönhetően, amely felderíti és blokkolja az ismeretlen sebezhetőségek kihasználására tett kísérleteket. A Fanny nevű féreg, amelyet feltehetőleg 2008 júliusában kompiláltak, az Equation platform része, és először a vállalat automatikus rendszerei derítették fel, és helyezték feketelistára 2008 decemberében.

Biztonság ROVAT TOVÁBBI HÍREI

Társasjáték a biztonságos internetért

A biztonságos internet megteremtésében kiemelt prioritás, hogy már a legkisebbek is tisztában legyenek az online tér kockázataival és azzal, hogy milyen módon kerülhetik el a rájuk leselkedő veszélyeket. A Biztonságos Internet Napján a Microsoft Magyarország olyan offline társasjátékot mutatott be, amely játékos módon tanítja meg a gyerekeket arra, hogyan kell biztonságosan közlekedni a virtuális térben.

2020. február 20. 17:44

A GDPR millió dolláros kérdése: mit is kell megvédeni?

A GDPR elsősorban értünk van, személyes adatainak védelmére hozták létre. Sokszor mégis felesleges tehernek tűnik. Magánemberként gyakran bosszúságnak érezzük, ha a sokadik hozzájárulást kell megadnunk az adataink kezeléséhez. Vállalati döntéshozóként vagy informatikai szakemberként pedig ennél jóval több feladatot ró ránk, hogy ezeket az érzékeny információkat valóban megfelelően kezeljük, hiszen a szabályozás rendszerint óriási mennyiségű adatot érint. A Micro Focus tapasztalata szerint számottevő könnyítést jelent, ha fájlelemző szoftver segítségével mérjük fel, pontosan mely adatainkra vonatkozik a szabályozás, és ezek hol találhatók a cég rendszereiben. 

2020. február 20. 15:54

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Megjelent az NMHH 2020-as felügyeleti terve

2020. február 18. 10:35

Informatikai szakembereket keres az SAP Labs Hungary

2020. február 14. 10:33

20 éves Magyarország egyik legrégebbi email rendszere

2020. február 7. 09:03

A három legnépszerűbb rádiót négymillió ember hallgatja

2020. február 3. 10:01
online sportfogadás