Spy Wars avagy hogyan lopnak és másolnak egymástól a hackerek

A kifinomult kiberbűnözők már nemcsak az egyszerű felhasználókat vagy a vállalatokat támadják, hanem más hacker csoportokat is annak érdekében, hogy ellopják az áldozatok adatait, a másik csoport eszközeit, és technológiáját valamint, hogy felhasználhassák annak infrastruktúráját. Ez tovább nehezíti a biztonsági szakértők munkáját – derül ki a Kaspersky Lab GReAT (Global Research and Analysis Team) részlegének legújabb kutatásából.

Spy Wars avagy hogyan lopnak és másolnak egymástól a hackerek

A kiberfenyegetések pontos észlelése az azonosító mintákon és eszközökön alapul, amely lehetővé teszi a kutatóknak, hogy csoportosítsák a támadókat azok céljaik, célpontjaik valamint viselkedésük alapján ezzel segítik a szervezeteket a fenyegetettségi szintjük meghatározásában. Azonban amikor a különböző kiberbűnöző csoportok egymást támadják, akkor ez az észlelési modell kudarcot vallhat.

A Kaspersky Lab úgy véli, hogy az ilyen támadásokat főként nemzetállamokat támogató csoportok hajtják végre, amelyek külföldi vagy kevésbé kompetens célpontok ellen irányulnak. Fontos, hogy az informatikai biztonsági kutatók megtanulják, hogyan kell észrevenni és értelmezni az ilyen jellegű támadások jeleit azért, hogy az összefüggések alapján fel lehessen állítani egy általános észlelő rendszert.

 

A GReAT kutatói a beszámolók alapján az ilyen típusú támadásoknál egyelőre két fő megközelítést azonosítottak: aktív és passzív. A passzív támadások főként más csoportok adatátvitelét használja, például az áldozatok és a C&C szerverek közti kommunikációt – szinte lehetetlen detektálni ezeket a támadásokat. Az aktív támadás során bevonják a másik kibercsapda kártékony infrastruktúráját is.

Van bizonyos kockázata az aktív módszer azonosításának, ugyanakkor több előnnyel is bír, többek között lehet monitorozni az áldozatokat és a célcsoportokat, valamint lehet támadásokat indítani az áldozatok „nevében”. Az aktív támadások eredményessége nagyban függ az áldozatok hibázási rátájától.
A GReAT csapat az alábbi furcsa és váratlan eredményekkel találkoztak a kiberfenyegetések vizsgálata közben:

1.       Backdoor-t telepítettek egy másik C&C infrastruktúrájába

Egy backdoor telepítése egy már feltört hálózatba lehetővé teszi a támadóknak az állandó jelenlétet és hozzáférést. A Kaspersky Lab kutatói több ilyen backdoor-t is találtak.
Az egyik ilyet 2013-ban észlelték, amikor a NetTraveler szerverét elemezték egy kínai nyelvű kampány kapcsán. A másikat 2014-ben találták, amikor egy meghekkelt honlapot vizsgáltak, amelyet a Crounching Yeti, más néven Energetic Bear használt, amely egy orosz nyelvű kiberfenyegetés kifejezetten ipari célpontok ellen. A kutatók ugyan rövid ideig, de érzékelték, hogy a C&C hálózatot olyan módon módosították, hogy az kínai, valószínűleg hamis IP címre mutatott. A kutatók úgy gondolják, ez egy másik csoport backdoor-ja lehetett, de nem egyértelmű, kié.

2.       Feltört weboldalak megosztása
Tavaly a Kaspersky Lab kutatói azonosítottak egy olyan honlapot, amelyet a koreai DarkHotel APT-vel hekkeltek meg és azon a magukat ScarCruft-nak nevezett csoport exploitjait helyezték el. A csoport fő célpontjai az orosz, a kínai és a dél-koreai szervezetek. A DarkHotel támadást 2016. áprilisára datálják, míg a ScarCruft támadásokat egy hónappal később indították, ami arra utal, hogy a ScarCruft csoport megfigyelte a másik támadást, mielőtt elindította sajátját.

3.       Célzott támadás
Ha egy kiberbűnözői csapat más, külső csoportot is bevon a támadásba bizonyos régiókban vagy iparágban, a részesedésért cserébe lehetővé teszi a költségek csökkentését, valamint a támadás eredményességének javítását.

Néhányan inkább megosztják a kibercsapdákat, semmint konkrét áldozatok ellen fordulnak. Ez a módszer ugyanakkor kockázatos lehet, mivel, ha az egyik csoport kevésbé tapasztalt és lebukik, akkor a rendőrségi vizsgálat során elkerülhetetlenül fény derül a többi csoportra is. Például a Kaspersky Lab 2014. novemberében jelentette, hogy a közel-keleti kutatóintézet szervere, amelyet Magnet of Threats-ként ismerünk, szimultán több más kifinomult kiberfenyegetést is tárol: Regin és Equation Group (angol nyelvűek), Turla és ItaDuke (orosz), Animal Farm (francia) és Careto (spanyol). Valójában ez a szerver volt az alapja az Equation Group felfedezésének.

„Az azonosítás nehéz folyamat, mivel a támadási nyomok ritkák és manipulálhatóak illetve most, hogy a hacker csoportok egymást is feltörik vagy meglopják, tovább nehezíti. Minél több bűnözői csoport használja egymás eszköztárát, áldozatainak adatait és infrastruktúráját, annál nehezebb lesz a minták és egyedi támadási módszerek alapján detektálni az elkövetőket. A tapasztalat azt mutatja, hogy egyre több ilyen támadást látunk, ezért a biztonsági szakértőknek és elemzőknek alkalmazkodniuk kell és új, hatékony módszereket kifejleszteni a sikeres és pontos azonosítás érdekében.” – vonta le a konklúziót Juan Andres Guerrero-Saade, a Kasperksy Lab GReAT részlegének vezető biztonsági kutatója.

Annak érdekében, hogy a vállalatok naprakészek legyenek a gyorsan fejlődő fenyegetésekkel szemben, a Kaspersky Lab azt javasolja, hogy használjanak egy teljeskörű biztonsági platformot kombinálva egy kibercsapda észlelő csomaggal.

Bővebb információt a legújabb kibercsapdákról és trendekről, valamint a megváltozott támadási módszerekről ezen a linken olvashat.
Amennyiben a teljes jelentést szeretné elolvasni, kérem, vegye fel a kapcsolatot az alábbi e-mail címen: intelreports@kaspersky.com

Kalkulátor ajánlónk:

Fix számokkal lottózol? Akkor ez neked való kalkulátor

Összeilletek-e a pároddal? Párkapcsolati kalkulátor

Mekkora az agyam a magyar átlaghoz képest

   

A kiberfenyegetések pontos észlelése az azonosító
mintákon és eszközökön alapul, amely lehetővé teszi a kutatóknak, hogy csoportosítsák a támadókat azok céljaik, célpontjaik valamint viselkedésük alapján ezzel segítik a szervezeteket a fenyegetettségi szintjük meghatározásában. Azonban amikor a különböző kiberbűnöző csoportok egymást támadják, akkor ez az észlelési modell kudarcot vallhat.

A Kaspersky Lab úgy véli, hogy az ilyen támadásokat főként nemzetállamokat támogató csoportok hajtják végre, amelyek külföldi vagy kevésbé kompetens célpontok ellen irányulnak. Fontos, hogy az informatikai biztonsági kutatók megtanulják, hogyan kell észrevenni és értelmezni az ilyen jellegű támadások jeleit azért, hogy az összefüggések alapján fel lehessen állítani egy általános észlelő rendszert. 

 


  

Kép forrása: www.kaspersky.com/blog/


A GReAT kutatói a beszámolók alapján az ilyen típusú támadásoknál egyelőre két fő megközelítést azonosítottak: aktív és passzív. A passzív támadások főként más csoportok adatátvitelét használja, például az áldozatok és a C&C szerverek közti kommunikációt – szinte lehetetlen detektálni ezeket a támadásokat. Az aktív támadás során bevonják a másik kibercsapda kártékony infrastruktúráját is.

Van bizonyos kockázata az aktív módszer azonosításának, ugyanakkor több előnnyel is bír, többek között lehet monitorozni az áldozatokat és a célcsoportokat, valamint lehet támadásokat indítani az áldozatok „nevében”. Az aktív támadások eredményessége nagyban függ az áldozatok hibázási rátájától.

A GReAT csapat az alábbi furcsa és váratlan eredményekkel találkoztak a kiberfenyegetések vizsgálata közben:

1.       Backdoor-t telepítettek egy másik C&C infrastruktúrájába 


Egy backdoor telepítése egy már feltört hálózatba lehetővé teszi a támadóknak az állandó jelenlétet és hozzáférést. A Kaspersky Lab kutatói több ilyen backdoor-t is találtak.

Az egyik ilyet 2013-ban észlelték, amikor a NetTraveler szerverét elemezték egy kínai nyelvű kampány kapcsán. A másikat 2014-ben találták, amikor egy meghekkelt honlapot vizsgáltak, amelyet a Crounching Yeti, más néven Energetic Bear használt, amely egy orosz nyelvű kiberfenyegetés kifejezetten ipari célpontok ellen. A kutatók ugyan rövid ideig, de érzékelték, hogy a C&C hálózatot olyan módon módosították, hogy az kínai, valószínűleg hamis IP címre mutatott. A kutatók úgy gondolják, ez egy másik csoport backdoor-ja lehetett, de nem egyértelmű, kié.

2.       Feltört weboldalak megosztása 

Tavaly a Kaspersky Lab kutatói azonosítottak egy olyan honlapot, amelyet a koreai DarkHotel APT-vel hekkeltek meg és azon a magukat ScarCruft-nak nevezett csoport exploitjait helyezték el. A csoport fő célpontjai az orosz, a kínai és a dél-koreai szervezetek. A DarkHotel támadást 2016. áprilisára datálják, míg a ScarCruft támadásokat egy hónappal később indították, ami arra utal, hogy a ScarCruft csoport megfigyelte a másik támadást, mielőtt elindította sajátját.

3.       Célzott támadás

Ha egy kiberbűnözői csapat más, külső csoportot is bevon a támadásba bizonyos régiókban vagy iparágban, a részesedésért cserébe lehetővé teszi a költségek csökkentését, valamint a támadás eredményességének javítását.

Néhányan inkább megosztják a kibercsapdákat, semmint konkrét áldozatok ellen fordulnak. Ez a módszer ugyanakkor kockázatos lehet, mivel, ha az egyik csoport kevésbé tapasztalt és lebukik, akkor a rendőrségi vizsgálat során elkerülhetetlenül fény derül a többi csoportra is. Például a Kaspersky Lab 2014. novemberében jelentette, hogy a közel-keleti kutatóintézet szervere, amelyet Magnet of Threats-ként ismerünk, szimultán több más kifinomult kiberfenyegetést is tárol: Regin és Equation Group (angol nyelvűek), Turla és ItaDuke (orosz), Animal Farm (francia) és Careto (spanyol). Valójában ez a szerver volt az alapja az Equation Group felfedezésének.

„Az azonosítás nehéz folyamat, mivel a támadási nyomok ritkák és manipulálhatóak illetve most, hogy a hacker csoportok egymást is feltörik vagy meglopják, tovább nehezíti. Minél több bűnözői csoport használja egymás eszköztárát, áldozatainak adatait és infrastruktúráját, annál nehezebb lesz a minták és egyedi támadási módszerek alapján detektálni az elkövetőket. A tapasztalat azt mutatja, hogy egyre több ilyen támadást látunk, ezért a biztonsági szakértőknek és elemzőknek alkalmazkodniuk kell és új, hatékony módszereket kifejleszteni a sikeres és pontos azonosítás érdekében.” – vonta le a konklúziót Juan Andres Guerrero-Saade, a Kasperksy Lab GReAT részlegének vezető biztonsági kutatója.

Annak érdekében, hogy a vállalatok naprakészek legyenek a gyorsan fejlődő fenyegetésekkel szemben, a Kaspersky Lab azt javasolja, hogy használjanak egy teljeskörű biztonsági platformot kombinálva egy kibercsapda észlelő csomaggal.

Bővebb információt a legújabb kibercsapdákról és trendekről, valamint a megváltozott támadási módszerekről ezen a linken olvashat.

Amennyiben a teljes jelentést szeretné elolvasni, kérem, vegye fel a kapcsolatot az alábbi e-mail címen: intelreports@kaspersky.com

Hozzászólások

Jó negyedévet zárt az SAP

A vártnál jobb negyedévet zárt az SAP német szoftvergyártó, amely csütörtökön kiadott gyorsjelentésében javította az idei bevételére és nyereségére vonatkozó előrejelzését a felhőszolgáltatási ágazat növekedésének gyorsulására hivatkozva.
2018. 07. 19. 11:00
Megosztás:
Hozzászólások:

Folyamatosan növekszik a kibertér veszélyeivel kapcsolatos tudatosság

Az elmúlt években folyamatosan nőtt a kibertér veszélyeivel kapcsolatos tudatosság - mondta Krasznay Csaba kiberbiztonsági szakértő az M1 aktuális csatorna vasárnap reggeli műsorában.
2018. 07. 15. 13:30
Megosztás:
Hozzászólások:

Minket figyelnek a mobilkészülékeink – derül ki a Kaspersky Lab elemzéséből

A különböző mobilalkalmazások megfigyelő képességei egyre jobban aggasztják a felhasználókat - sokakat zavar, hogy az internetet használó készülékek nemcsak megfigyelik, de meg is osztják a felhasználók tevékenységeit, adatait. Ugyanakkor kevesen tudják, hogy ezeket a veszélyeket könnyedén kezelhetjük, ha betartunk néhány egyszerű biztonsági intézkedést – figyelmeztet a Kaspersky Lab egyik szakértője.
2018. 07. 13. 03:00
Megosztás:
Hozzászólások:

Újabb kibertámadás Németországban

Több német médiavállalat és egy vegyifegyver-kutatással foglalkozó szervezet vált újabb kibertámadás célpontjaivá Németországban - jelentette csütörtökön az ARD német közszolgálati médiaszolgáltató.
2018. 07. 12. 22:00
Megosztás:
Hozzászólások:

A Getronics megvásárolta a Pomeroy-t: egymilliárd dollár feletti vezető globális IT szolgáltatási platform jött létre

A Getronics sikeres akvizíció keretében megvásárolta a Pomeroy-t, az USA digitális munkahelyi átalakulásának egyik piacvezető szolgáltatóját. A stratégiai akvizícióval a Getronics megszilárdította pozícióját a globális ICT szolgáltatók piacán, kiszélesített szolgáltatásokat és kiemelkedő ügyfélélményt kínálva. A Getronics tulajdonosa a Bottega InvestCo S.à r.l., melynek alapítója és főrészvényese a brazil-amerikai vállalkozó Nana Baffour, a Getronics csoport elnök-vezérigazgatója.
2018. 07. 12. 11:30
Megosztás:
Hozzászólások:

10 millió dollárt kerestek a kiberbűnözők a kriptovalutás átverésekkel

A Kaspersky Lab becslései szerint a kiberbűnözők az elmúlt évben több mint 21 ezer ether kriptovalutát kerestek, ami több mint 10 millió dollárnak felel meg a jelenlegi árfolyamon.
2018. 07. 11. 06:00
Megosztás:
Hozzászólások:

Hogyan segíti a mesterséges intelligencia a digitális marketinget?

A mesterséges intelligencia (AI) és a gépi tanulás (ML) a digitális marketing területén is olyan újításokat tesz lehetővé, amelyek korábban csak sci-fi történetekben voltak elképzelhetőek. A szuperszámítógépek ma már képesek a Big data, vagyis a magán- és a céges szektor által előállított óriási adatmennyiség elemzésére. Ezt a tudást hívta segítségül az Intren digitális marketingügynökség legújabb kísérleti projektjéhez, amelyben a turisztikai hirdetések hatékonyságát vizsgálta az IBM mesterséges intelligenciájának segítségével.
2018. 07. 10. 14:00
Megosztás:
Hozzászólások:

A zsebtolvajok mázlija - A felhasználók több, mint fele nem védi jelszóval a mobilját

Az emberek fele (52%) még mindig nem védi le jelszóval a mobilkészülékeit, ezért az internetes zsebtolvajok egyre nagyobb hasznot húzhatnak az ilyen jellegű digitális lopásokból. Erre hívja fel a Kaskpersky Lab a felhasználók figyelmét.
2018. 07. 04. 21:30
Megosztás:
Hozzászólások:

A repülőterekre is becsekkolt a digitalizáció

Egyre több repülőtér modernizálja működését a legújabb technológia alkalmazásával. A digitalizációban élen járó reptereken már robotokat használnak, kiterjesztett valóság segít az utasoknak tájékozódni, vizsgálják a blokklánc alkalmazásának lehetőségeit, és egyre több üzemeltető nyit a startupok felé. A digitalizáció hajtóereje a hatékonyság növelése, a reptéri élmény erősítése – hangzott el az SAP szoftvercég nemrég megtartott, nemzetközi reptér konferenciáján, Budapesten.
2018. 07. 04. 16:30
Megosztás:
Hozzászólások:

A WannaCrypt zsarolóvírus előre kéri a pénzt

A Wannacry új szintre emelte a zsarolóvírus-os támadásokat, mert a kéretlen adattitkosítás funkcióját egy önterjesztő számítógépes vírus kódjával kombinálta. Azaz, automatikusan keresztül tudta rágni magát a felhasználók hálózatán, miközben potenciálisan több ezer számítógép összes tárolt adatát titkosította. Ehhez pedig elég volt akár egyetlen fertőző tartalmú álcázott levélmellékletet vagy egy nem biztonságos weboldalról letöltött fájlt megnyitni.
2018. 07. 01. 21:30
Megosztás:
Hozzászólások:

A mesterséges intelligencia garantálja a bevételnövekedést

Az IMF prognózisát is meghaladó árbevétel-emelkedésre számítanak a középvállalatok vezetői – derül ki az EY felméréséből (EY Growth Barometer), aminek keretében 21 országból 2766 felsővezetőt kérdeztek meg. A válaszadók az intelligens automatizálást és a gépi tanulást tartják a fellendülés hajtóerejének.
2018. 06. 30. 19:30
Megosztás:
Hozzászólások:

Egyre nagyobb teret hódítanak a digitális befektetési szolgáltatások

Okostelefon, okosotthon, okosbankár? - A trend egyértelműen a digitális szolgáltatások még szélesebb körű elterjedése irányába mutat, ami már a megtakarítások terén is tetten érhető. Háromból egy hazai megtakarító ugyanis szívesen használ e-portfóliót vagy távbankár segítséget befektetési tranzakcióinak végrehajtásához a hagyományos bankolási mód mellett - jelzi a digitális szolgáltatások rohamos terjedését a K&H.
2018. 06. 30. 13:30
Megosztás:
Hozzászólások:

Bányászok keserítik meg az életünket – derül ki a Kaspersky Lab friss tanulmányából

A kártékony kriptovaluta bányász szoftverek az elmúlt egy év alatt 2,7 millió felhasználót támadtak meg, amely majdnem a másfélszerese az előző évhez képest (1,9 millió). Az elmúlt 2 év statisztikái azt mutatják, hogy a bányászok egyre nagyobb figyelmet fordítanak a fejlődő országok piacára és támadják ezeknek a régióknak a felhasználóit, hogy növeljék bevételeiket – állapította meg a Kaspersky Lab legfrissebb zsarolóvírusokról és kripto-bányászokról szóló tanulmánya, amely az elmúlt két évet vizsgálta. A két egy éves periódusra (2016. április -2017. március és 2017. április -2018. március) kiterjedő elemzés kimutatta, hogy míg a zsarolóvírusok potenciálisan nagy összegű, de egyszeri keresetet tudnak biztosítani, addig a bányászó programok viszonylag kevesebb nyereséghez juttatják a kiberbűnözőket, de sokkal hosszabb ideig képesek működni. Épp ezért nem meglepő módon a bányászat egyre népszerűbb a bűnözők körében.
2018. 06. 29. 06:00
Megosztás:
Hozzászólások:

Nem csak a Samsung lehet az Apple kizárólagos OLED beszállítója

A Samsung mellett az LG-től is rendelhet az idén debütáló okostelefonjaihoz OLED kijelzőket az Apple.
2018. 06. 28. 12:00
Megosztás:
Hozzászólások:

Közeleg az 5G, felfutóban a mobil IoT

A mobil IoT kapcsolatok száma 2023-ra várhatóan eléri a 3,5 milliárdot Az 5G már idén megjelenhet, a technológia átvételében Észak-Amerika áll az élen. 2023-ra a globális mobil adatforgalom 20 százaléka már 5G hálózatokon bonyolódik majd
2018. 06. 21. 07:30
Megosztás:
Hozzászólások:

Az Olympic Destroyer visszatért: biológiai- és vegyvédelmi pontokat támad Európában támad

A Kaspersky Lab kutatói, akik az Olympic Destroyer nevű kibercsapdát azonosították a Téli Olimpiai Játékok idején úgy látják, hogy a pusztító fertőzés mögött álló hekkercsapat még mindig aktív. Úgy tűnik támadásaik célpontjai most Németországban, Franciaországban, Svájcban, Hollandiában, Ukrajnában és Oroszországban lévő vegyi- és biológiai veszélyekkel szemben érintett szervezetekre irányul.
2018. 06. 21. 06:00
Megosztás:
Hozzászólások:

Informatikai támadás érhette a katasztrófavédelem szerverét

A jövő évi költségvetési javaslat biztonsági fejezeteiről és az Országos Katasztrófavédelmi Főigazgatóság (OKF) szerverét ért informatikai támadásról is tájékozódott keddi, részben zárt ülésén az Országgyűlés nemzetbiztonsági bizottsága.
2018. 06. 19. 14:30
Megosztás:
Hozzászólások:

Indul a Safer Internet Program pályázata

Pályázatot hirdet 13-19 éves fiatalok részére a magyarországi Safer Internet Program (SIP) képviselője a biztonságos internethasználatot középpontba állító brüsszeli konferencián való részvételre.
2018. 06. 18. 22:00
Megosztás:
Hozzászólások:

Az állatok digitális élete: mit tudunk tenni, hogy biztonságban tudjuk házi kedvenceinket?

A Kaspersky Lab az Opeepl kutatóintézettel közösen vizsgálta 15 országban és közel 8.000 háztartásban, hogy miként hatnak a modern technológiák a kis kedvencek biztonságára. A vizsgálat eredménye azt mutatja, hogy minden ötödik kisállat tulajdonosa használ valamilyen digitális eszközt kedvenceik megfigyelésére, ezek közül majdnem minden második valóban veszélyezteti az állatokat vagy a gazdájukat.
2018. 06. 16. 16:30
Megosztás:
Hozzászólások:

Új hiányszakmát szült a mesterséges intelligencia

Ma már közhely, hogy a mesterséges intelligencia miatt munkahelyek szűnnek meg, ám arról kevesebb szó esik, hogy újak is jönnek létre. Ilyen a CRM (ügyfélkapcsolat-kezelő) menedzser is, amiből akkora hiány mutatkozik, hogy milliós fizetésekkel halásszák el egymástól a szakembereket a nagyvállalatok. A hiány pótlására Magyarországon először indul szakirányú továbbképzés az Edutus Főiskolán.
2018. 06. 13. 20:00
Megosztás:
Hozzászólások:

Árfolyamok

BÉT Ár % Változás