Wiadomości

Loading


05.10.2017 | Wojny szpiegów: jak ugrupowania cyberprzestępcze wspierane przez rządy okradają i naśladują siebie nawzajem

Zaawansowani cyberprzestępcy aktywnie przeprowadzają ataki na inne ugrupowania w celu kradzieży danych ofiar, "pożyczania" narzędzi i technik oraz ponownego wykorzystywania cudzej infrastruktury - co według Globalnego Zespołu ds. Badań i Analiz (GReAT) z Kaspersky Lab jeszcze bardziej utrudnia badaczom bezpieczeństwa dokładną analizę zagrożeń.

Dokładna analiza zagrożeń opiera się na identyfikacji schematów i narzędzi wskazujących na określone ugrupowanie cyberprzestępcze. Wiedza ta umożliwia badaczom lepsze mapowanie intencji, celów i zachowania różnych ugrupowań cyberprzestępczych i pomaga organizacjom określić swój poziom ryzyka. W momencie, gdy przestępcy zaczynają hakować się nawzajem i przejmować swoje narzędzia, infrastrukturę, a nawet ofiary, model ten szybko zaczyna się załamywać.

Kaspersky Lab uważa, że takie ataki są prawdopodobnie przeprowadzane głównie przez cyberprzestępców wspieranych przez rządy, a ich celem są zagraniczne lub mniej kompetentne ugrupowania. Ważne jest, aby badacze bezpieczeństwa IT nauczyli się, jak dostrzegać i interpretować oznaki takich ataków, aby móc prezentować swoje analizy w odpowiednim kontekście.

W szczegółowym przeglądzie możliwości przeprowadzania tego rodzaju ataków badacze z zespołu GReAT zidentyfikowali dwa główne podejścia: bierne i aktywne. Ataki bierne polegają na przechwytywaniu danych innych ugrupowań "w ruchu", np. podczas ich przepływu między ofiarami a serwerami kontroli - i są niemal niemożliwe do wykrycia. Z kolei podejście aktywne polega na infiltrowaniu infrastruktury innego ugrupowania cyberprzestępczego.

Z podejściem aktywnym wiąże się większe ryzyko wykrycia, ale z drugiej strony oferuje ono więcej korzyści, ponieważ pozwala atakującym regularnie uzyskiwać informacje, monitorować cel swoich ataków i jego ofiary, a nawet umieszczać własne szkodliwe moduły lub przeprowadzać ataki "w imieniu" innego ugrupowania (i w efekcie państwa). Sukces działań aktywnych w dużej mierze zależy od błędów popełnionych przez atakowane ugrupowanie w zakresie bezpieczeństwa operacyjnego.

Zespół GReAT odkrył wiele nietypowych i nieoczekiwanych artefaktów podczas prowadzenia dochodzeń dotyczących określonych ugrupowań cyberprzestępczych, które sugerują, że omawiane aktywne ataki mają już miejsce od jakiegoś czasu. Poniżej zamieszczono kilka przykładów.

1. Tylne furtki instalowane w infrastrukturze kontroli innego podmiotu

Zainstalowanie szkodliwego programu dającego zdalny dostęp (tzw. backdoor) w zhakowanej sieci gwarantuje atakującym długotrwałą obecność wewnątrz operacji innego ugrupowania. Badacze z Kaspersky Lab zidentyfikowali dwa przykłady takich backdoorów wykorzystanych w faktycznych atakach.

Jeden z nich został wykryty w 2013 r. podczas analizy serwera wykorzystanego w ramach NetTraveler, chińskojęzycznej kampanii wymierzonej przeciwko aktywistom i organizacjom w Azji. Drugi został zidentyfikowany w 2014 r. podczas badania zhakowanej strony internetowej wykorzystywanej przez Crouching Yeti - rosyjskojęzyczne ugrupowanie atakujące sektor przemysłowy od 2010 r. (znane również jako Energetic Bear). Badacze zauważyli, że przez krótki czas panel zarządzający siecią cyberprzestępczą został zmodyfikowany przy użyciu znacznika, który wskazywał na zdalny adres IP w Chinach (prawdopodobnie była to tzw. fałszywa bandera mająca na celu zmylenie organów ścigania i analityków). Badacze uważają, że również w tym przypadku zastosowano backdoora należącego do innego ugrupowania przestępczego, chociaż nie ma żadnych wskazówek umożliwiających zidentyfikowanie go.

2. Współdzielenie zhakowanych stron internetowych

W 2016 r. badacze z Kaspersky Lab odkryli, że strona internetowa zhakowana przez koreańskojęzyczne ugrupowanie DarkHotel obejmowała również skrypty innego ugrupowania, ScarCruft, stosującego ataki ukierunkowane wycelowane głównie w organizacje rosyjskie, chińskie oraz południowokoreańskie. Operacja DarkHotel miała miejsce w kwietniu 2016 r., natomiast ataki ScarCruft zostały przeprowadzone miesiąc później, co sugeruje, że ScarCruft mógł zaobserwować ataki DarkHotel przed rozpoczęciem własnych.

3. Ataki przez pośrednika

Infiltracja ugrupowania o ugruntowanej pozycji w określonym regionie lub sektorze przemysłowym umożliwia atakującym zmniejszenie kosztów i większe sprecyzowanie ataków dzięki specjalistycznej wiedzy swojej ofiary.

Niektóre ugrupowania cyberprzestępcze zamiast podkradać sobie ofiary, dzielą się nimi. Jest to ryzykowane podejście w sytuacji, gdy jedno z ugrupowań jest mniej zaawansowane i zostanie złapane, ponieważ nieunikniona analiza kryminalistyczna, jaka zostanie przeprowadzona, ujawni również pozostałych intruzów. W listopadzie 2014 r. Kaspersky Lab poinformował, że serwer należący do instytucji badawczej na Bliskim Wschodzie, znanej pod nazwą Magnet of Threats, przechowywał jednocześnie szkodliwe moduły dla wysoce zaawansowanych ugrupowań cyberprzestępczych Regin oraz Equation (angielskojęzyczne), Turla i ItaDuke (rosyjskojęzyczne), jak również Animal Farm (francuskojęzyczne) oraz Careto/The Mask (hiszpańskojęzyczne). W rzeczywistości analiza tego serwera zapoczątkowała wykrycie grupy Equation.

Przypisanie autorstwa zawsze jest trudne, ponieważ wskazówek zwykle jest bardzo mało i łatwo można nimi manipulować, a dodatkowo trzeba jeszcze uwzględnić wpływ wzajemnego atakowania się przez ugrupowania cyberprzestępcze. Jako że coraz więcej atakujących wykorzystuje zestawy narzędzi swoich kolegów po fachu, ich ofiary oraz infrastrukturę, umieszcza swoje własne moduły lub przejmuje tożsamość swojej ofiary w celu przeprowadzania dalszych ataków, rodzi się pytanie o przyszłość tych, którzy polują na zagrożenia, próbując nakreślić jaśniejszy, dokładniejszy obraz sytuacji. Z zaprezentowanych tu przykładów wynika, że niektóre z tych zjawisk występują już teraz, a badacze zajmujący się analizą zagrożeń będą musieli zatrzymać się i dostosować swoje myślenie, jeśli chodzi o analizę działania zaawansowanych ugrupowań przestępczych - powiedział Juan Andres Guerrero-Saade, główny badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.

Kaspersky Lab zaleca przedsiębiorstwom, które chcą dotrzymać kroku szybko ewoluującemu krajobrazowi zagrożeń, aby wdrożyły pełną platformę bezpieczeństwa w połączeniu z zaawansowaną analizą zagrożeń. Portfolio firmy Kaspersky Lab obejmujące rozwiązania bezpieczeństwa dla przedsiębiorstw oferuje firmom zapobieganie zagrożeniom za pomocą pakietu bezpieczeństwa punktów końcowych nowej generacji, wykrywanie oparte na platformie Kaspersky Anti Targeted Attack, jak również przewidywanie i reagowanie na incydenty za pośrednictwem usług zaawansowanej analizy zagrożeń.

źródło: Kaspersky Lab

Kliknij aby powiększyć



05.10.2017 | Czarny Piątek okazją dla e-commerce

Z roku na rok coraz większą popularność w handlu online, także w Polsce zdobywa Czarny Piątek, czyli dzień, w którym startuje sezon świątecznych zakupów oraz wyprzedaży.

Z tej okazji, PayPal podpowiada co mogą zrobić właściciele sklepów internetowych, aby przygotować się na zakupy w tym okresie i zwiększyć swoją sprzedaż za granicą.

W Czarny Piątek, klienci mogą skorzystać z największych promocji i zniżek cen.

Black Friday znany jest przede wszystkim w Stanach Zjednoczonych i obchodzony co roku w ostatni piątek listopada, następnego dnia po słynnym amerykańskim Święcie Dziękczynienia.

+ więcej...
05.10.2017 | F-Secure PSB – nowa wersja pakietu do zabezpieczania urządzeń końcowych w firmach

Firma F-Secure, globalny dostawca rozwiązań z zakresu cyberbezpieczeństwa, przedstawia nową wersję Protection Service for Business – flagowego pakietu do zabezpieczania urządzeń końcowych.

PSB oferuje ulepszoną technologię ochrony behawioralnej dla komputerów Windows oraz Mac w firmach.

Według raportu Allianz 2017 Risk Barometer, przedsiębiorcy postrzegają incydenty związane z cyberbezpieczeństwem jako trzecie największe zagrożenie dla swojej działalności.

Obawy są uzasadnione, ponieważ każdego dnia wykrywane są nowe rodzaje złośliwego oprogramowania. 

+ więcej...
05.10.2017 | Uwaga na BlueBorne. Zagrożone urządzenia z Bluetoothem

Fortinet, światowy lider w zakresie zaawansowanych cyberzabezpieczeń, zaleca ostrożność w korzystaniu z technologii Bluetooth w związku z wykryciem nowego eksploita BlueBorne.

Luki w systemach Bluetooth sprawiły, że narażone na ataki są miliardy urządzeń na całym świecie.

BlueBorne to hybrydowy malware o cechach trojana i robaka, który rozprzestrzenia się za pomocą technologii Bluetooth.

Cechy robaka sprawiają, że każdy zainfekowany przez BlueBorne system jest także potencjalnym roznosicielem infekcji, aktywnie szukającym kolejnego, podatnego na atak urządzenia. 

+ więcej...

Najtańszy internet kablowy

Sieć lokalna - łącze 1,5 Mb/s:
Telewizja kablowa: - łącze 5 Mb/s
xDSL - łącze 3 Mb/s:

Najtańszy internet bezprzewodowy

WIMAX - łącze 1 Mb/s:
Wi-Fi - łącze 500 Mb/s:
GSM - łącze 21 Mb/s:

Zadzwoń, znajdziemy najlepszą ofertę dla Ciebie!
Infolinia: 22 395 12 12

Zamknij