Państwa narodowe kupują narzędzia hakerskie od podziemnych rosyjskich forów cybernetycznych


Stwierdzono, że państwa narodowe kupują na rosyjskich forach poświęconych cyberprzestępczości złośliwe oprogramowanie, którego mogą użyć do wyczyszczenia komputerów z danych podczas wrogich ataków hakerskich.

Rosyjskojęzyczne fora hakerskie, w tym Exploit i XSS, prowadzą czarny rynek narzędzi i usług wykorzystywanych przez cyberprzestępców, których celem jest zarabianie pieniędzy poprzez hakowanie systemów komputerowych i kradzież danych.

Według Siergiej Szykiewiczekspert ds. analizy zagrożeń w firmie Check Point Software zajmującej się bezpieczeństwem cybernetycznym, państwa narodowe coraz częściej korzystają z tajnych forów poświęconych cyberprzestępczości, aby udawać cyberprzestępców i hakerów.

„Państwa narodowe rozumieją, że udawanie zaangażowania w haktywizm pozwala im zaprzeczać” – powiedział Computer Weekly. „Nie chcą być oskarżeni, nawet jeśli wszyscy wiedzą, że to Rosja lub Iran”.

Rosyjskie fora

Niektóre z rosyjskich forów poświęconych cyberprzestępczości działają od ponad 20 lat. Jednym z najstarszych rosyjskojęzycznych forów jest Exploit, które powstało w 2000 roku i zawiera milion wiadomości na ponad 200 000 tematów, powiedział Szykiewicz.

„Oferują wszystko, co można sobie wyobrazić” – powiedział Computer Weekly. „Zaczyna się od luk w oprogramowaniu. Możesz wynajmować złośliwe oprogramowanie, oprogramowanie ransomware jako usługę i spam jako usługę w celu dystrybucji fałszywych e-maili phishingowych, a obecnie nawet sztucznej inteligencji [artificial intelligence]usługi powiązane i głębokie fałszywe platformy.”

Reklama

Fora zazwyczaj istnieją w głębokiej sieci i nie wymagają specjalistycznej przeglądarki Tor, aby uzyskać do nich dostęp. Ale są to wyłącznie członkowie.

Iran podejrzany o zakup oprogramowania do wycieraczek

W zeszłym roku firma Check Point odkryła, że ​​rosyjskie podziemne fora oferują oprogramowanie wycierające, którego zadaniem jest nieodwracalne niszczenie danych komputerowych.

Oprogramowanie Wiper nie interesuje cyberprzestępców, którzy zwykle odwiedzają rosyjskie fora hakerskie, co zdecydowanie sugeruje zaangażowanie państwa narodowego.

„Widzieliśmy, jak ktoś, prawdopodobnie rząd irański, szukał oprogramowania do wycieraczek” – powiedział Szykiewicz.

Sponsorowane przez państwo grupy hakerskie są lepiej finansowane niż typowe grupy cyberprzestępcze i nie boją się reklamować swojej siły nabywczej, powiedział Szykiewicz.

Zwykle płacą większe depozyty administratorom forów cyberprzestępczych niż inni członkowie społeczności hakerskiej.

„Na podstawie tego wszystkiego możemy stwierdzić ze stosunkowo dużą pewnością, że nie są to zwykli cyberprzestępcy” – powiedział Szykiewicz.

Wydają pieniądze na gromadzenie (bankowanie) zapasów cennych exploitów dnia zerowego, które można wykorzystać do włamania się do docelowych systemów komputerowych.

„Widzimy ugrupowania zagrażające, które twierdzą, że wykorzystują exploity bankowe. Ich budżety są nieograniczone” – powiedział Szykiewicz.

Hakerzy z państw narodowych często dodają kolejną warstwę osłony, korzystając z legalnych narzędzi do testowania bezpieczeństwa cybernetycznego – które są łatwo dostępne na rosyjskich forach poświęconych cyberprzestępczości – w celu sondowania sieci podatnych na ataki systemów komputerowych.

Rzadziej wzbudzają podejrzenia niż narzędzia hakerskie wykonane na zamówienie.

Shykevich szacuje, że tylko jedna na 10 osób korzystających z narzędzi do testowania piórem to prawdziwi eksperci ds. bezpieczeństwa. „Większość testów to źli aktorzy” – powiedział.

Fora działają jak firma

Członkowie rosyjskich podziemnych forów działają jak typowi przedsiębiorcy i interesują ich zyski i miesięczne przychody ze sprzedaży swoich exploitów i usług hakerskich.

W Rosji otwarcie eksponują swoje bogactwo. Na przykład jeden z najsłynniejszych rosyjskich cyberprzestępców podobno wydał ponad pół miliona dolarów na wystawnym weselu w Moskwie.

Każdy, kto ubiega się o dołączenie do forum, może spodziewać się przejścia weryfikacji, aby upewnić się, że jest prawdziwym cyberprzestępcą, a nie przedstawicielem organów ścigania lub badaczem bezpieczeństwa. Składki członkowskie wahają się od 50 do kilku tysięcy funtów.

Fora posiadają systemy zasad i arbitrów, którzy mogą wydawać orzeczenia, gdy strony są w sporze dotyczącym płatności.

Odwiedzający mogą spodziewać się kompletnego „łańcucha zabijania” usług hakerskich.

Brokerzy pierwszego dostępu

Łańcuch zaczyna się od brokerów pierwszego dostępu. Sprzedają dane uwierzytelniające umożliwiające dostęp do systemów informatycznych firm za pośrednictwem sieci VPN lub komercyjnych narzędzi zdalnego dostępu, takich jak AnyDesk, za stosunkowo niewielkie kwoty.

Na przykład firma Check Point zidentyfikowała jednego brokera sprzedającego dane uwierzytelniające anonimowej japońskiej firmie, która korzystała z narzędzi zdalnego dostępu AnyDesk za 3000 USD.

W takich reklamach nie wymienia się docelowych firm, aby chronić ich tożsamość przed badaczami bezpieczeństwa i tajną policją. Wskazują jednak przychody celu – ważny wskaźnik dla osób atakujących oprogramowanie ransomware, które wiedzą, że mogą zapewnić wyższy okup od bogatszych firm.

„Oceniają wartość konkretnego dostępu na podstawie przychodów firmy i tego, ile mogą od firmy wyłudzić. Im większa firma lub bogatsza branża, tym więcej mogą wyłudzić” – powiedział Szykiewicz.

Spam i zero dni

Oferowane usługi obejmują serwery spamowe, które za opłatą rozsyłają wiadomości spamowe. Wiele osób zwraca się do sztucznej inteligencji, aby tworzyć e-maile, które nie zostaną wykryte przez filtry spamu, a wskaźnik skuteczności wynosi 70%.

Niektórzy przestępcy specjalizują się w opracowywaniu exploitów na podstawie nowo odkrytych luk typu zero-day w ciągu kilku dni od ich publikacji – znacznie szybciej, niż firmy są w stanie załatać.

Inne usługi pozwalają ludziom pobrać istniejące złośliwe oprogramowanie i zmienić kod, aby uniknąć wykrycia przez oprogramowanie antywirusowe.

„Jedną z rzeczy ważnych dla cyberprzestępców jest to, że ich szkodliwe oprogramowanie nie zostaje wykryte” – powiedział Szykiewicz. Zmodyfikowane złośliwe oprogramowanie jest w stanie przetrwać niezauważone przez lata.

Oprogramowanie ransomware

Na większości rosyjskich podziemnych forów oprogramowanie ransomware jest zabronione, ale według badań Szykiewicza co najmniej jedno rosyjskie forum oferuje oprogramowanie ransomware jako usługę.

Usługi świadczone są przez grupy opracowujące kod oprogramowania ransomware oraz testerów penetracji kryminalnej, którzy wykonują ciężką pracę polegającą na uzyskiwaniu dostępu do sieci firmowych.

Twórcy oprogramowania ransomware zazwyczaj obcinają od 20% do 30% przychodów w wyniku udanego ataku oprogramowania ransomware. W przypadku niektórych okupów sięgających dziesiątek milionów, opłaty są znaczne.

Na podziemnych rosyjskich targowiskach obowiązuje zasada, że ​​użytkownicy nie powinni atakować innych krajów rosyjskojęzycznych. Groziłoby to prawdopodobnie aresztowaniem lub uwięzieniem – powiedział Szykiewicz.

„Dopóki nie obierają za cel tych krajów, mogą robić, co chcą” – powiedział. „To podwójne zwycięstwo. Zarabiają dla Rosji i pokazują, że Zachód jest podatny na cyberataki”.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Które samochody obsługują kluczyk samochodowy w Apple Wallet?

Na WWDC w 2020 r. Apple ogłosiło nowa funkcja kluczyka samochodowego, która umożliwia kontrolowanie samochodu za pomocą aplikacji Portfel na iPhonie lub zegarku...

Funkcje Galaxy AI będą dostępne w telefonach Samsung ostatniej generacji – w tym w serii S21

Według nich Samsung planuje w przyszłym miesiącu udostępnić wybrane funkcje Galaxy AI kilku starszym flagowym telefonom i tabletom za pośrednictwem aktualizacji One UI...

Apple opowiada się za sprzedażą komputerów Mac wyposażonych jedynie w 8 GB pamięci RAM

Wraz z premierą MacBooka Pro M3 w zeszłym roku wielu recenzentów i klientów skrytykował firmę za w dalszym ciągu sprzedaż komputerów klasy premium...
Advertisment