קספרסקי מגלה את טקטיקות הריגול האחרונות ברשת: מורכבות לעומת פונקציונליות

דיווחי החברה על EquationDrug, אחת מפלטפורמות הריגול העיקריות המשמשות את קבוצת המשוואה

התקפותcyberespionage בחסות מדינת לאום נעשות מתוחכמות יותר ויותר, ומתמקדות במשתמשים מוגדרים , בזהירות עם כלים מורכבים, מודולריים, ושמירה גם מתחת לרדאר של מערכות גילוי יעילות יותר ויותר, מומחי קספרסקי גילו.

מגמה חדשה זו אושרה במהלך ניתוח מפורט של פלטפורמת cyberespionageEquationDrug. EquationDrug שהיא פלטפורמת הריגול העיקרית שפותחה על ידי קבוצת המשוואה. ונמצאת בשימוש כבר יותר מעשור ולמרות המגמה של להיות מוחלפת על ידי פלטפורמת GrayFish אפילו מתוחכמת יותר.המגמות הטקטיות אושרו על ידי הניתוח של EquationDrug שנצפו לראשונה על ידי מעבדות קספרסקי במהלך המחקר שלה למסעות ריגול וירטואליים.

מומחי מעבדת קספרסקי מצאו כי, בעקבות ההצלחה הגוברת של התעשייה בחשיפת האיום המתמשך קבוצות מתקדמות (APT), שחקני האיום המתוחכמים ביותר מתמקדים כעת בהגדלת מספר הרכיבים בפלטפורמה הזדונית שלהם על מנת לצמצם את החשיפה שלהם ולשפר את ההתגנבות.

הפלטפורמות האחרונות נושאות מודולי תוסף (Plugin) רבים המאפשרים להם לבחור ולבצע מגוון רחב של פונקציות שונות, בהתאם ליעד קורבן והמידע שהם מחזיקים. קספרסקי מעריך כי EquationDrug כולל 116 תוספים שונים.

"תוקפי המדינות מחפשים ליצור כלי  cyberespionage יציבים יותר, בלתי נראים, אמינים ואוניברסליים יותר. הם התמקדו ביצירת מסגרות לעטיפת קוד כזה למשהו שיכול להיות מותאם אישית על מערכות עובדות ומספק דרך אמינה כדי לאחסן את כל הרכיבים ונתונים בצורה מוצפנת, בלתי נגישה למשתמשים רגילים ", מסביר Costin Raiu מנהל המחקר העולמי במעבדת קספרסקי. "תחכום של המסגרת עושה את זה סוג של שחקן שונה מפושעי אינטרנט מסורתיים, המעדיפים להתמקד ביכולות של תוכנות זדוניות המיועדות לרווחים כספיים ישירים."

דרכים נוספות בהם תוקפי מדינות מבדלים את הטקטיקות שלהם מפושעי אינטרנט מסורתיים כוללות:

מידתיות.

פושעי אינטרנט מסורתיים נוהגים להפיץ דברי דוא"ל המוניים עם קבצים זדוניים מצורפים או להדביק אתרים בקנה מידה גדול,  לאומת זה תוקפי המדינות מעדיפים להיות ממוקדים מאד, ובניתוח אמצעים כמעט כירורגיים, מדביקים רק קומץ של משתמשים נבחרים.

גישה אינדיבידואלית.

בעוד פושעי אינטרנט מסורתיים עושים בדרך כלל שימוש חוזר בקוד מקור זמין לציבור, כגון זה של זאוס הידוע לשמצה או סוסים טרויאניים Carberb, ההאקרים תוקפי המדינות מייצרים תוכנות זדוניות ייחודיות, מותאמות אישית, ואף מיישמים הגבלות המונעות פענוח וביצוע חיצוני של מחשב היעד.

חילוץ מידע רב ערך.

פושעי אינטרנט בניסיון כללי להדביק משתמשים רבים ככל האפשר. ויחד עם זאת אין להם את הזמן ומרחב אחסון לבדוק באופן ידני את כל המכונות שהם מדביקים ולנתח בעלותם, אילו נתונים שמורים בהם  איזה תוכנות הם מריצים – לאחר מכן הם מעבירים ומאחסנים את כל הנתונים שעלולים לעניינם.

כתוצאה מכך יהיה על גנבים אלה לחלץ את הנתונים היקרים ביותר בלבד, כגון סיסמאות ומספרי כרטיסי אשראי משרתי  הקורבנות – פעילות שיכולה להביא אותם במהירות לתשומת לבם של כל תוכנת אבטחה המותקנת.

יש לתוקפי מדינות מצד שני משאבים כדי לאחסן נתונים רבים ככל שהם רוצים. להמנע מתשומת לב ולהישאר בלתי נראים לתוכנות אבטחה כשהם מנסים להימנע מהדבקת משתמשים אקראיים ובמקום להסתמך על כלי ניהול מערכת מרוחקים כלליים שיכולים להעתיק כל מידע שהם עשויים להזדקק ובכל הכמויות ,עם זאת, זה עלול להאט את החיבור לרשת ולעורר חשד.

"זה אולי נראה מוזר ויוצא דופן שפלטפורמת cyberespionage חזקה כמוEquationDrug אינה מונעת את יכולות הגניבה כסטנדרט בליבת תוכנות זדוניות שלה.התשובה היא שהם מעדיפים להתאים אישית את ההתקפה לכל אחד מקורבנותיהם. אותם הם בחרו כדי לפקח באופן פעיל אחרי מוצרי אבטחה במחשבים שלכם שכבר פורקו מנשקם, אנו מאמינים שמודולריות והתאמה אישית תהפוך לסימן מסחרי ייחודי של תוקפי מדינות בעתיד, "סיכםCostin Raiu.

מוצרי קספרסקי זיהו מספר ניסיונות לפגוע במשתמשים שלה עם שימוש לרעה בתוכנות המשמשות את הקבוצה במשוואת התוכנות זדוניות שלהם. רבות מהתקפות אלו לא היו מוצלחות עקב תוכנות שמופעלות באופן אוטומטי וניצול טכנולוגיה שמונעת וחוסמת נקודות תורפה ידועות The Fanny worm  נערכה ככל הנראה בחודש יולי 2008 והפכה להיות חלק מפלטפורמת המשוואה, הייתה הראשונה שזוהתה ועודכנה וברשימה שחורה של המערכות אוטומטיות שלנו בחודש דצמבר 2008.

דילוג לתוכן