Спецпроекты

Безопасность Бизнес ИТ в банках ИТ в госсекторе

Найдены продвинутые кибершпионы-наемники, атакующие финструктуры по всему миру

Специалисты компании BlackBerry обнаружили APT-группировку, которая предположительно берет подряды на любые формы кибершпионской деятельности за деньги. Группировка использует исключительно собственные инструменты, и они имеют весьма продвинутый облик.

Контрактные обязательства

Эксперты компании BlackBerry выявили новую хакерскую группировку, которая работает из коммерческих интересов, но при этом довольно успешно мимикрирует под всевозможных «государственных» хакеров или выполняет «подряды» в интересах правительств национальных государств.

Группировка, получившая название CostaRicto, на данный момент атакует преимущественно цели в Южной Азии (Индии, Бангладеше, Сингапуре), хотя среди ее жертв — организации во Франции, Голландии, Австрии, Китае, США и Австралии. Значительная часть атакованных структур относятся к финансовой сфере. Очевидно, именно такие цели интересуют заказчиков атак более всего.

Специалистам BlackBerry не удалось точно установить первичный вектор проникновения операторов CostaRicto в атакуемые системы. Одним из наиболее вероятных вариантов является использование ранее скомпрометированных реквизитов доступа, то есть утекших и не замененных вовремя логинов и паролей.

Проникнув за периметр, злоумышленники разворачивают SSH-туннели, а также стейджер, который устанавливает через HTTP- и обратные DNS-запросы уникальный бэкдор, получивший название Sombra.

Кибершпионы на аутсорсе за деньги атакуют финансовые вертикали

Бэкдор доставляется на скомпрометированные системы через эксплуатацию рефлекcивной DLL-инъекции с помощью фреймворка PowerSploit или специальный дроппер на базе виртуальной машины под названием CostaBricks.

Высокий уровень подготовки и операционной безопасности

Эксперты отметили также повышенный уровень операционной безопасности операторов CostaRicto: они используют целый ряд прокси-серверов и Tor-соединений, чтобы замаскировать свою деятельность и предотвратить отслеживание атаки к первоисточнику.

Набор вредоносных программ, используемый CostaRicto, впервые был отмечен в 2019 г. С тех пор эксперты по безопасности встречали его довольно редко, что указывает на узкую направленность атак, а также на то, что никто, кроме самих CostaRicto, ими, скорее всего, не пользуется.

Эти программы постоянно совершенствуются. Специалисты BlackBerry отметили, что их код очень хорошо структурирован, так что фунциональность вредоносов легко будет расширить.

По мнению экспертов BlackBerry, к услугам CostaRicto активно прибегают самые разные силы, в том числе крупные организации и правительства. Использование наемников объективно затрудняет выявление истинных источников и интересантов кибершпионской деятельности. Кроме того, сами заказчики атак далеко не всегда располагают нужным уровнем подготовки и оснащенностью, чтобы проводить атаки своими силами.

«Атрибутирование кибератак — весьма проблемный вопрос сам по себе, а когда речь идёт о деятельности наёмников, то жертвам остаётся лишь гадать, кому была выгодна атака на них, — отмечает Алексей Водясов, технический директор компании SEC Consult Services. — Логично предположить, что количество подобных группировок, хорошо подготовленных, использующих вредоносы собственного изготовления и действующих в интересах тех, кто больше заплатит, в будущем будет только расти. Тем более, что спецслужбам национальных государств бывает выгоднее использовать именно таких наёмников, нежели собственную киберармию».

Роман Георгиев

Короткая ссылка