נחשפו טקטיקות ריגול הסייבר העדכניות ביותר: מורכבות ומודולריות ע"ח טווח יכולות
מאת
: מערכת Telecom News, 12.3.15, 20:03
.jpg?id=21142983)
מתקפות ריגול סייבר בגיבוי מדינות הופכות למתוחכמות כשהן ממוקדות במשתמשים מוגדרים תוך שימוש בכלים מודולריים מורכבים, שמאפשרים צלילה מתחת לראדר של מערכות הגילוי. ההבדלים בין עברייני סייבר לתוקפים מגובי מדינות.
מגמה חדשה זו אומתה במסגרת מחקר עומק של פלטפורמת ריגול הסייבר
EquationDrug. מומחי מעבדת קספרסקי גילו, שבהמשך להצלחה המתרחבת של התעשייה לחשוף קבוצות ריגול (
APT), השחקנים המתוחכמים ביותר בתחום מתמקדים כעת בהקטנת מספר הרכיבים בפלטפורמות הזדוניות שלהם, כדי להפחית את יכולת הזיהוי שלהם ולהגדיל את ההסוואה.
הפלטפורמות העדכניות ביותר נושאות כעת מודולים רבים, שניתן להוסיף, שמאפשרים להם לבחור ולבצע טווח רחב של פעולות בהתאם לקורבן ולנתונים, שהוא מחזיק. מומחי החברה מעריכים, כי
EquationDrug כולל 116 פלאגינים שונים.
קוסטין ראיו, מנהל צוות המחקר והניתוח הגלובלי של מעבדת קספרסקי: "תוקפים מטעם מדינות מחפשים ליצור כלי ריגול סייבר אוניברסליים, אמינים, בלתי נראים ויציבים. הם מתמקדים ביצירת סביבות תוכנה בהן ניתן לעטוף קוד זדוני ולבצע בהן התאמה בתוך מערכת חיה. זאת, תוך שימוש בדרך אמינה לאחסן את כל הרכיבים והנתונים בצורה מוצפנת, שאינה נגישה למשתמשים רגילים. התחכום של הסביבות האלן הופך את השחקנים האלה לנבדלים מעברייני הסייבר המסורתיים. האחרונים מעדיפים להתמקד בהשתלת קוד זדוני עם יכולות, שנועדו להשגת רווחים מיידית".
דרכים נוספות בהן תוקפים מטעם מדינות מבדלים את הטקטיקה שלהם מזו של עברייני הסייבר:
היקף. עברייני סייבר מסורתיים מפיצים דואר אלקטרוני עם קבצים זדוניים בצורה המונית, או שהם מדביקים אתרי אינטרנט בהיקפים גדולים. בעוד שחקנים מגובי מדינה מעדיפים תקיפות נקודתיות וכירורגיות, שמשפיעות רק על קומץ נבחר של משתמשים.
גישה יחידנית. בעוד עברייני סייבר מסורתיים בדרך כלל עושים שימוש בקוד מקור הזמין לציבור, כגון זה של הטרויאנים זאוס או
Cabeb, שחקנים מגובי מדינה בונים קוד זדוני ייחודי ומותאם אישית. הם אפילו מטמיעים בו הגבלות, שמונעות פיענוח הצפנה והפעלה מחוץ למחשב המטרה.
שליפת מידע בעל ערך. עברייני סייבר, באופן כללי, מנסים להדביק כמות גדולה ככל האפשר של משתמשים. אך הם חסרים את הזמן ושטח האחסון כדי לבדוק את כל המכונות שהודבקו ולנתח מי בעליהן, איזה מידע מאוחסן בהן, ואיזו תוכנה הן מריצות, ואז להעביר ולאחסן את כל המידע בעל פוטנציאל ערך.
כתוצאה מכך, הם בונים קוד זדוני מסוג הכל-כלול, שישלוף רק את המידע בעל הערך הגבוה ביותר, כגון סיסמאות ומספרי אשראי, מתוך המחשבים הפגועים, פעילות, שיכולה להעלות אותם על המכ"ם של כל תוכנת אבטחה מידע שמותקנת בהם.
לעומתם, תוקפים בגיבוי מדינות הם בעלי משאבים לאחסן כל כמות מידע שירצו. כדי להתחמק מתשומת הלב ולהישאר בלתי נראים עבור תוכנות האבטחה, הם מנסים להימנע מהדבקה של משתמשים אקראיים. במקום זאת הם מתבססים על כלי ניהול מערכת מרחוק, שמעתיק כל מידע, שהם עלולים להיזדקק לו ובכל כמות. אך שיטת פעולה זו יכולה גם לפעול נגדם, משום שהעברת כמויות גדולות של נתונים מאיטה את החיבור לרשת ויכולה להעלות חשד.
זה עלול להיראות חריג, שפלטפורמת ריגול סייבר עוצמתית כמו
EquationDrug לא מגיעה עם יכולות גניבה כחלק סטנדרטי מקוד הליבה שלה. התשובה היא, שהם מעדיפים לבצע התאמה מדויקת של המתקפה עבור כל קורבן בנפרד. רק אם הם בחרו לנטר אותך באופן אקטיבי, ואם מוצרי האבטחה במערכת שלך נוטרלו, אתה תקבל פלאגין לניטור חי של שיחות או כל פעולת מעקב אחרת. מודולריות וקסטומיזציה תהפוכנה לסימן היכר ייחודי של תוקפים מגובי מדינה.
EquationDrug היא פלטפורמת הריגול המרכזית, שפותחה ע"י קבוצת
Equation. היא הייתה בשימוש במשך יותר מעשור, על אף שכעת היא מוחלפת בדרך כלל באמצעות פלטפורמת
GrayFish המתוחכמת יותר. המגמות הטקטיות, שאומתו במהלך הניתוח של
EquationDrug, זוהו לראשונה על ידי מעבדת קספרסקי במהלך מחקר שלה לגבי פעולות ריגול הסייבר
Careto ו-
Regin.
