A Kaspersky Lab szakértői felfedték, hogy az állam által támogatott kiberkémkedési támadások egyre kifinomultabbak, gondosan kiválasztott felhasználókat céloznak összetett, moduláris eszközökkel, és jól működnek az egyre hatékonyabb érzékelő rendszerek figyelő szemei ellenére.
Ezt az új trendet az EquationDrug kiberkémkedési platform alapos elemzése is megerősítette. A vállalat specialistái azt figyelték meg, hogy miután az iparág egyre sikeresebb a fejlett állandó fenyegetések (APT-k) mögött álló csoportok leleplezésében, a legkifinomultabb fenyegetéseket bevető szereplők most a rosszindulatú platformjuk alkotóelemei számának növelésére helyezik a hangsúlyt annak érdekében, hogy láthatatlanok maradjanak. A legújabb platformok sok bővítményt tartalmaznak, ami lehetővé teszi a számos különböző funkció közül kiválasztani és végrehajtani a megfelelőt, az adott célszemélytől és az általa birtokolt információktól függően. Szakértői becslések szerint az EquationDrug 116 különböző bővítményt tartalmaz.
Tényezők, amelyek megkülönböztetik az állam által szponzorált támadók taktikáját a hagyományos kiberbűnözőkétől:
– Mérték. A hagyományos kiberbűnözők tömegesen terjesztik rosszindulatú csatolmányokkal ellátott e-mailjeiket és nagy számban fertőznek meg weboldalakat, ezzel szemben az állam által támogatott szereplők gondosan célzott, mérnöki pontossággal kiválaszott, csupán maroknyi számú felhasználót fertőznek meg.
– Egyedi megközelítés. Míg a hagyományos kiberbűnözők jellemzően újra felhasználják a nyilvánosan elérhető forráskódokat, például a hírhedt Zeus vagy Carberb trójait. Addig az állam által szponzorált támadók egyedi, testreszabott malware-eket hoznak létre, ráadásul olyan korlátozásokkal, amelyek megakadályozzák a kód célszámítógépen kívüli visszafejtését és végrehajtását.
– Fontos információk kinyerése. Általában a kiberbűnözők annyi felhasználót kísérelnek megfertőzni, amennyit csak lehetséges. Azonban az idő és a tárolási kapacitás hiánya miatt nem tudják ellenőrizni az összes megfertőzött gépet, megállapítani azok tulajdonosát, megvizsgálni a rajtuk tárolt adatokat és futtatott szoftvereket – majd kiválogatni közülük az összes, potenciálisan érdekes információt.
– Emiatt olyan tolvaj malware-eket készítenek, amelyek csak a legértékesebb adatokat, például a jelszavakat és a bankkártya-számokat szűrik ki az áldozat készülékéről – ez azonban olyan tevékenység, amellyel azonnal felhívják magukra a telepített biztonsági szoftver figyelmét.
– Az állam által szponzorált támadók ezzel szemben rendelkeznek a megfelelő erőforrásokkal, hogy annyi adatot tárolhassanak, amennyit csak akarnak. Ahhoz, hogy észrevétlenek maradjanak a biztonsági megoldások számára, elkerülik azt, hogy véletlenszerűen fertőzzenek meg felhasználókat, és egy általánosan használt távoli rendszerfelügyeleti eszközre hagyatkoznak, amely bármilyen és bármennyi információt képes lemásolni, amelyre szükségük lehet. Ugyanakkor ez a megoldás ellenük is fordulhat, hiszen a hatalmas mennyiségű adat lelassíthatja a hálózati kapcsolatot, és gyanút ébreszthet.