«Лаборатория Касперского» рассказала о случаях кибершпионажа, в которых жертвами преступников становились их же «конкуренты» — другие группировки, занимающиеся целевыми атаками. По словам экспертов компании, эта практика сильно затрудняет работу антивирусных аналитиков. Основной принцип цифровой криминалистики — выявление специфичных для группировок шаблонов и инструментов, на основе которых затем атрибутируются атаки. Однако если киберпреступники начинают взламывать друг друга, воровать инструменты, технологии и даже жертв, эта модель перестает работать. Таким образом, для успешного расследования киберпреступлений необходимо выработать новый подход.
Несколько примеров того, как хакеры могут использовать чужие технологии в собственных целях:
- бэкдор в инфраструктуре командных серверов другой группировки. Установка бэкдора (инструмента для удаленного управления компьютером жертвы) во взломанной сети позволяет атакующим постоянно следить за операциями другой группы. «Лаборатория Касперского» обнаружила как минимум два примера подобных атак. Первый — в 2013 году при анализе сервера китайскоговорящей группировки NetTraveler, атакующей активистов и организации в Азии. Второй нашли в 2014 году при расследовании взлома группировкой Crouching Yeti одного из веб-сайтов. Это русскоговорящая группа, также известная как Energetic Bear, атакует промышленные компании с 2010 года. Исследователи заметили, что в течение некоторого времени панель управления сетью командных серверов была изменена при помощи тэга, который указывал на китайский IP;
- общие взломанные сайты. В 2016 году исследователи «Лаборатории Касперского» обнаружили, что взломанный корейскоязычной группировкой DarkHotel сайт также содержал эксплойты другой APT-группировки — ScarCruft. Жертвами последней в основном становились российские, китайские и южнокорейские организации. Атака DarkHotel произошла в апреле 2016 года, а ScarCruft — месяцем позже. Это позволяет предположить, что преступники из ScarCruft следили за операциями DarkHotel, прежде чем приступать к собственным;
- атака через посредника. Это, проще говоря, использование в операциях инфраструктуры и сведений группировок, которые хорошо знают конкретный регион или индустрию. При этом некоторые преступники предпочитают не воровать у других цели, а «делить» их. В ноябре 2014 года «Лаборатория Касперского» обнаружила, что принадлежащий ближневосточному исследовательскому институту сервер, известный как «Магнит для угроз», одновременно содержал импланты групп Regin, Equation Group (англоговорящие), Turla, ItaDuke (италоговорящие), Animal Farm (франкоговорящие) и Careto (испаноговорящие). Кстати, именно этот сервер стал отправной точкой при обнаружении Equation Group.
«Атрибуция — очень сложный процесс даже при хороших условиях, потому что цифровыми уликами легко манипулировать. А теперь мы должны дополнительно учитывать, что одни группировки взламывают другие. Все чаще киберпреступники заимствуют у конкурентов инструменты и жертв, заражают своими имплантами их инфраструктуру и „крадут“ чужую идентичность. Приведенные примеры показывают, что многое из этого уже стало реальностью. Что же остается охотникам за угрозами, которым надо составить максимально полную и точную картину происходящего? Похоже, настало время серьезно задуматься и адаптировать свое мышление и методы к новым условиям, которые влияют на анализ сложных киберугроз», — отметил Хуан Андрес Герреро-Сааде, ведущий антивирусный эксперт «Лаборатории Касперского».
Чтобы обеспечить максимальную защиту от киберпреступников, «Лаборатория Касперского» рекомендует компаниям пользоваться комплексными защитными решениями с средствами обнаружения угроз нового поколения. В частности, защитить свою инфраструктуру от целевых атак поможет Kaspersky Anti Targeted Attack Platform (KATA). Решение противостоит нападениям на всех этапах и способно как обнаружить уже начавшуюся атаку и минимизировать ущерб от нее, так и защитить предприятие от потенциальных угроз, оценив риски для безопасности в текущей инфраструктуре.