heh.pl
Kanał informacyjny Heh.pl


Poniedziałek 30 listopada 2020 r.

artykuły | abc komputera (archiwum) | forum dyskusyjne | redakcja


Poniedziałek, 7 listopada 2016, 08:33

Ugrupowania cyberprzestępcze opanowują taktykę fałszywej bandery, aby zwieść ofiary i badaczy bezpieczeństwa

Ugrupowania cyberprzestępcze realizujące ataki ukierunkowane wykorzystują coraz szerszy wachlarz oszukańczych technik, aby pokrzyżować próby ustalenia autorów takich działań. Przestępcy pozostawiają fałszywe tropy m.in. w postaci sygnatur czasowych, tekstów, szkodliwego oprogramowania i działają pod przykrywką nieistniejących ugrupowań – tak wynika z analizy, którą podczas konferencji Virus Bulletin zaprezentowali badacze z Kaspersky Lab – Brian Bartholomew i Juan-Andres Guerrero-Sade.

Tożsamość grupy odpowiedzialnej za przeprowadzenie cyberataku ukierunkowanego to pytanie, na które każdy chce znać odpowiedź – mimo że ustalenie, kim są sprawcy, jest najczęściej trudne, jeśli w ogóle nie niemożliwe. Aby zaprezentować coraz większą złożoność i niepewność atrybucji w dzisiejszym krajobrazie zagrożeń, dwóch ekspertów z Kaspersky Lab opublikowało artykuł ukazujący, w jaki sposób bardziej zaawansowani cyberprzestępcy wykonują działania pod fałszywą banderą, aby wywieść w pole ofiary i badaczy ds. cyberbezpieczeństwa.

Poniżej przedstawiono najczęściej wykorzystywane przez badaczy wskazówki sugerujące, skąd mogą pochodzić ataki, wraz z przykładami ich manipulacji przez kilka znanych ugrupowań cyberprzestępczych.

Sygnatury czasowe


Pliki szkodliwego oprogramowania zawierają sygnaturę czasową, która wskazuje, kiedy zostały skompilowane. Po zebraniu wystarczająco dużej liczby powiązanych próbek można określić czas pracy ich twórców, a to może wskazać ogólną strefę czasową ich operacji. Jednakże takie sygnatury czasowe można niezwykle łatwo zmienić.

Wskaźniki językowe


Pliki szkodliwego oprogramowania często zawierają teksty, które mogą dawać pewne wyobrażenie na temat autorów kodu. Najbardziej oczywistą wskazówką jest wykorzystany język lub języki oraz poziom biegłości językowej. Omawiane wskazówki mogą również ujawnić nazwę użytkownika oraz wewnętrzne nazewnictwo dla projektów lub kampanii. Ponadto dokumenty phishingowe mogą zawierać mnóstwo metadanych, które ujawniają informacje wskazujące na rzeczywisty komputer autora.

Jednak cyberprzestępcy mogą z łatwością manipulować wskaźnikami językowymi w celu zmylenia badaczy. Zwodnicze wskazówki pozostawione w szkodliwym oprogramowaniu przez ugrupowanie cyberprzestępcze Cloud Atlas obejmowały tekst w języku arabskim w wersji dla urządzeń BlackBerry, znaki w języku Hindi w wersji dla Androida oraz ciąg „JohnClerk” w ścieżce projektu wersji dla iOS – chociaż wielu podejrzewa, że ugrupowanie to posiada w rzeczywistości związki z Europą Wschodnią. Szkodliwe oprogramowanie wykorzystywane przez ugrupowanie cyberprzestępcze Wild Neutron zawierało teksty zarówno w języku rumuńskim, jak i rosyjskim.

Infrastruktura i połączenia z serwerami


Znalezienie rzeczywistych serwerów kontroli wykorzystywanych przez cyberprzestępców można porównać ze znalezieniem ich adresu zamieszkania. Utrzymanie takiej infrastruktury może być kosztowne i trudne, dlatego nawet cyberprzestępcy posiadający duże możliwości mają skłonność do ponownego wykorzystywania serwerów lub zasobów phishingowych. Nawiązywanie połączeń z infrastrukturą może zdradzić cyberprzestępców, jeśli nie anonimizują oni odpowiednio połączeń internetowych, gdy pobierają dane z serwerów e-mail, przygotowują zasoby phishingowe lub meldują się w zhakowanym systemie.
Czasami jednak taka „wpadka” jest celowa: ugrupowanie Cloud Atlas próbowało zmylić badaczy poprzez wykorzystywanie adresów IP pochodzących z Korei Południowej.

Zestawy narzędzi: szkodliwe oprogramowanie, hasła, narzędzia wykorzystujące luki


Chociaż niektórzy cyberprzestępcy wykorzystują obecnie publicznie dostępne narzędzia, wielu nadal preferuje tworzenie własnych narzędzi, których zazdrośnie strzeże. Dlatego pojawienie się określonej rodziny szkodliwego oprogramowania może pomóc badaczom wskazać cyberprzestępcę.

Ugrupowanie Turla postanowiło wykorzystać to założenie, gdy zostało zidentyfikowane w zainfekowanym systemie. Zamiast wycofać swoje szkodliwe oprogramowanie, atakujący zainstalowali rzadką próbkę chińskiego szkodnika, który komunikował się z infrastrukturą zlokalizowaną w Pekinie – zupełnie niezwiązaną z ugrupowaniem Turla. Podczas gdy zespół reagowania na incydenty zaatakowanej firmy ścigał szkodnika-zmyłkę, grupa Turla ukradkowo odinstalowała swoje szkodliwe oprogramowanie i zatarła wszystkie ślady z systemów ofiary.

Cele ataków


Cele ugrupowań cyberprzestępczych to kolejna potencjalna wskazówka, jednak ustalenie dokładnego związku wymaga umiejętnej interpretacji i analizy. W przypadku ugrupowania Wild Neutron, lista ofiar była tak zróżnicowana, że wprowadziła jedynie zamieszanie.

Ponadto niektóre ugrupowania cyberprzestępcze żerują na tym, że wszyscy spodziewają się istnienia wyraźnego związku między atakującym a jego celami, i działają pod przykrywką (często nieistniejącej) grupy haktywistów. Właśnie w ten sposób próbowało zagrać ugrupowanie Lazarus, podszywając się pod „Guardians of Peace” podczas ataków na Sony Pictures Entertainment w 2014. Wielu uważa, że ugrupowanie cyberprzestępcze o nazwie Sofacy zastosowało podobną taktykę, podszywając się pod różne ugrupowania haktywistyczne.

Na koniec warto również wspomnieć, że niekiedy cyberprzestępcy próbują zepchnąć winę na inne ugrupowanie. Jest to podejście stosowane przez ugrupowanie TigerMilk, które podpisywało swoje szkodliwe programy przy użyciu skradzionego certyfikatu, wykorzystywanego wcześniej przez Stuxneta.

Wersja do druku
Poleć znajomym: Udostępnij

Podobne tematy


Starsze

07.11.2016 r.

Wyniki badania: smartfony rozpraszają nas i zmniejszają naszą wydajność w pracy, 8:31

TRANSCEND prezentuje nowe dyski SSD M.2, 8:28


Nowsze

07.11.2016 r.

"Selfie Pay" nowa funkcja Mastercard ma wzmocnić bezpieczeństwo on-line, 8:34

Koniec licencjonowania Windows 7 i Windows 8, 8:39


Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.


Brak komentarzy. Może warto dodać swój własny?



Autor:  










Copyright © 2002-2020 | Prywatność | Load: 0.89 | SQL: 9 | Uptime: 124 days, 11:59 h:m | Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl