Handlarz cyberbronią

Data: 24-11-2013 r.

Nowy raport firmy FireEye wyjaśnia, w jaki sposób cyberprzestępcy korzystają ze wspólnego centrum programistyczno-logistycznego do przeprowadzania ataków z użyciem złośliwego oprogramowania.

Firma FireEye poinformowała o opublikowaniu nowego raportu pt. Supply Chain Analysis: From Quartermaster to Sunshop. Raport pokazuje, że pozornie niezwiązane ze sobą ataki mogą być elementami szerszej strategii realizowanej za pomocą współdzielonej infrastruktury programistyczno-logistycznej. Oznacza to, że ofiary takich ataków często nie są świadome tego, że mają do czynienia ze zorganizowaną grupą cyberprzestępców.

„Z naszego badania wynika, że mamy do czynienia z centralnie zarządzanym planowaniem i programowaniem przez jedną lub więcej osób odpowiedzialnych za ataki APT” — powiedział Darien Kindlund, dyrektor ds. analizy zagrożeń w firmie FireEye. „Jeśli chodzi o cyberprzestępczość, preferowanym narzędziem ataków pozostaje złośliwe oprogramowanie. Uproszczenie procesu programowania jest dla cyberprzestępców korzystne z ekonomicznego punktu widzenia. Ustalenia raportu mogą wskazywać na zalążek nowego trendu, swoistego „uprzemysłowienia” tworzenia złośliwego oprogramowania, co pozwala wykorzystać efekt skali”.

W raporcie przeanalizowano 11 zaawansowanych ataków APT o długotrwałym działaniu wymierzonych w podmioty z różnych branż. Mimo że ataki te na pierwszy rzut oka wydawały się niezwiązane ze sobą, głębsza analiza wykazała kilka elementów wspólnych: te same narządzenia wykorzystujące złośliwe oprogramowanie, te same elementy kodu, pliki binarne z tymi samymi znacznikami czasu oraz podpisane pliki binarne z tymi samymi certyfikatami cyfrowymi.

Dwa najważniejsze wnioski płynące z raportu:

Wspólna infrastruktura programistyczno-logistyczna: Analiza 11 zaawansowanych ataków o długotrwałym działaniu pokazała, że cyberprzestępcy wykorzystują wspólną infrastrukturę programistyczno-logistyczną do przeprowadzania pozornie niezwiązanych ze sobą ataków. Infrastrukturę tę najlepiej opisuje określenie „cyfrowy kwatermistrz”. Głównym zadaniem takiego „kwatermistrza” jest dostarczanie złośliwego oprogramowania oraz narzędzi służących szpiegostwu cyfrowemu. Cyfrowy kwatermistrz może być również swoistym „handlarzem cyberbronią”, czyli dostarczycielem narzędzi do przeprowadzania ataków i przejmowania kontroli nad systemami.
Wspólne narzędzie programistyczne: Badacze z firmy FireEye zlokalizowali narzędzie programistyczne, które prawdopodobnie zostało użyte w niektórych ze zanalizowanych 11 ataków APT. Okna dialogowe i opcje menu w narzędziu programistycznym były w języku chińskim, co oznacza, że narzędzie mogło zostać opracowane i było używane przez osoby chińskojęzyczne.

„Podobnie jak w przypadku wojen konwencjonalnych, tak i narzędzia wykorzystywane do przeprowadzania ataków w cyberprzestrzeni będą ciągle się rozwijać poprzez innowacje” — powiedział David DeWalt, prezes firmy FireEye. „Nie dziwi więc fakt, że cyberprzestępcy się organizują. Aby skuteczniej się przed nimi chronić, należy przyjąć podejście oparte na współpracy w ramach społeczności. Taka społeczność nie powinna ograniczać się jedynie do monitorowania postępów w technologiach używanych przez cyberprzestępców; powinna również promować wiedzę pomagającą minimalizować negatywne konsekwencje nowych rodzajów ataków w cyberprzestrzeni”.

Rafał Janus

Zobacz także:

Tagi: bezpieczeństwo it