Tech

Egymást lopják és másolják a háborúzó hackerek

kaspersky lab hacker kiberbiztonság
kaspersky lab hacker kiberbiztonság

A kiberbűnözők nemcsak a hétköznapi felhasználókat, vagy a vállalatokat, de más hackercsoportok eszközeit, technológiát és infrastruktúráit is megcélozzák annak érdekében, hogy személyes adatokhoz férhessenek hozzá.

A Kaspersky Lab globális elemzőcsapata, a GReAT legújabb kutatása szerint ez a biztonsági szakértők munkáját is megnehezíti. A kiberfenyegetések pontos észlelése a csoportot azonosító mintákon és eszközökön alapul, ez teszi lehetővé a kutatóknak, hogy csoportosítsák őket céljaik, célpontjaik valamint viselkedésük alapján. Azonban amikor a különböző kiberbűnöző csoportok egymást támadják, akkor ez az észlelési modell kudarcot vallhat.

A kiberbiztonsági cég úgy véli, hogy az ilyen támadásokat főként nemzetállamokat támogató csoportok hajtják végre, amelyek külföldi vagy kevésbé kompetens célpontok ellen irányulnak.

Forrás: HELMUT FOHRINGER/AFP

A GReAT kutatói a beszámolók alapján az ilyen típusú támadásoknál egyelőre két fő megközelítést azonosítottak: aktív és passzív.

A passzív támadások főként más csoportok adatátvitelét használja, például az áldozatok és a C&C szerverek közti kommunikációt – szinte lehetetlen detektálni ezeket a támadásokat. Az aktív támadás során bevonják a másik kibercsapda kártékony infrastruktúráját is.

Van bizonyos kockázata az aktív módszer azonosításának, ugyanakkor több előnnyel is bír, többek között lehet monitorozni az áldozatokat és a célcsoportokat, valamint lehet támadásokat indítani az áldozatok „nevében”.

Ezeket a módszereket használják a kiberbűnözők

A GReAT biztonsági szakértői az alábbi furcsa esetekkel találkoztak:

A hackerek hátsóajtót (backdoor) telepítettek egy másik hacker infrastruktúrájába

Egy backdoor telepítése egy már feltört hálózatba lehetővé teszi a támadóknak az állandó jelenlétet és hozzáférést, a Kaspersky Lab kutatói több ilyen backdoort is találtak.

Feltört weboldalak megosztása

Tavaly egy olyan honlapot sikerült azonosítani, amelyet a koreai DarkHotel APT-vel hekkeltek meg és azon a ScarCruft hackercsoport exploitjait helyezték el. A csoport fő célpontjai az orosz, a kínai és a dél-koreai szervezetek voltak. A DarkHotel támadást 2016. áprilisára datálják, míg a ScarCruft támadásokat egy hónappal később indították, ami arra utal, hogy a ScarCruft csoport megfigyelte a másik támadást, mielőtt elindította sajátját.

Célzott támadás

Ha egy kiberbűnözői csapat más, külső csoportot is bevon a támadásba bizonyos régiókban vagy iparágban, a részesedésért cserébe lehetővé teszi a költségek csökkentését, valamint a támadás eredményességének javítását.

Néhányan inkább megosztják a kibercsapdákat, semmint konkrét áldozatok ellen fordulnak.

Ez a módszer ugyanakkor kockázatos lehet, mivel, ha az egyik csoport kevésbé tapasztalt és lebukik, akkor a rendőrségi vizsgálat során elkerülhetetlenül fény derül a többi csoportra is.

Ajánlott videó

Olvasói sztorik