Τα τελευταία χρόνια, οι εκθέσεις συνεχίζουν να προβάλλουν λεπτομέρειες των δραστών πίσω από τις στοχευμένες ηλεκτρονικές επιθέσεις.
Το τμήμα Symantec Security Response έχει εστιάσει σε ένα γκρουπ που θεωρεί ότι είναι το κορυφαίο αυτής της κατηγορίας. Η ονομασία του γκρουπ είναι «Hidden Lynx», έπειτα από μία ακολουθία στοιχείων που βρέθηκε στα πληροφοριακά συστήματα διοίκησης και ελέγχου. Αυτή η ομάδα έχει συγκεκριμένο στόχο και μηχανισμό, που υποσκελίζει άλλα γνωστά γκρουπ όπως τα APT1/Comment Crew. Βασικά χαρακτηριστικά αυτού του γκρουπ είναι:

• τεχνική ικανότητα
• ευελιξία
• οργάνωση
• εφευρετικότητα
• υπομονή.



Αυτές οι ιδιότητες έγιναν γνωστές από τις ατελείωτες καμπάνιες που διενεργήθηκαν, ενάντια σε πολλαπλούς στόχους ταυτόχρονα, σε μία σταθερή περίοδο χρόνου. Αυτοί είναι οι πρωτοπόροι της τεχνικής «watering hole» που χρησιμοποιήθηκε για να στηθούν ενέδρες σε στόχους, αυτοί έχουν πρώτοι πρόσβαση σε zero-day ευπάθειες και έχουν την ανθεκτικότητα και την υπομονή ενός έξυπνου κυνηγού, ώστε να εκθέσουν σε κίνδυνο την αλυσίδα εφοδιασμού με απώτερο στόχο να πλήξουν μία μεγαλύτερη επιχείρηση. Αυτές οι επιθέσεις τίθενται σε εφαρμογή από μολυσμένους υπολογιστές ενός προμηθευτή του στόχου που επιδιώκουν και, έπειτα, αναμένουν την εγκατάσταση αυτών των υπολογιστών. Πρόκειται για καλά υπολογισμένες δράσεις, παρά για αυθόρμητες ενέργειες ερασιτεχνών.



Το συγκεκριμένο γκρουπ δεν περιορίζεται σε έναν μικρό αριθμό στόχων. Αντ’ αυτού, στοχεύει εκατοντάδες οργανισμούς διαφορετικού μεγέθους σε πολλές χώρες, ακόμη και κατά την ίδια χρονική περίοδο. Υπολογίζοντας το εύρος και τον αριθμό των στόχων, όπως και τις χώρες που εμπλέκονται, συμπεραίνουμε ότι αυτό το γκρουπ πρέπει να είναι επαγγελματίες hacker προς ενοικίαση, που λειτουργούν με συμβάσεις πελατών τους για παροχή πληροφοριών. Υποκλέπτουν κατ’ απαίτηση ότι ενδιαφέρει τους πελάτες τους, έτσι εξηγείται η μεγάλη ποικιλία και φάσμα στόχων.

Πιστεύουμε, επίσης, ότι για την υλοποίηση επιθέσεων τέτοιου μεγέθους, αυτό το γκρουπ πρέπει να διαθέτει αξιόλογη τεχνογνωσία στο hacking, με 50 έως 100 ενεργά μέλη που απασχολούνται και οργανώνονται σε τουλάχιστον δύο απομακρυσμένες ομάδες. Οι οποίες ομάδες έχουν ως καθήκον να διενεργούν διαφορετικές δραστηριότητες, χρησιμοποιώντας μία σειρά από εργαλεία και τεχνικές. Αυτού του είδους οι επιθέσεις απαιτούν χρόνο και προσπάθεια για την υλοποίησή τους, ενώ ορισμένες από τις καμπάνιες απαιτούν έρευνα και ενδελεχή πληροφόρηση, που συγκεντρώνεται πριν στοιχειοθετηθούν οι επιθέσεις.



Στην πρώτη γραμμή αυτού του γκρουπ είναι μία ομάδα που χρησιμοποιεί διαθέσιμα εργαλεία μαζί με βασικές αλλά αποτελεσματικές τεχνικές, για να επιτεθεί σε πολλούς διαφορετικούς στόχους. Τα μέλη της μπορούν, επίσης, να δρουν ως συλλέκτες πληροφοριών. Η ομάδα έχει ονομαστεί «Moudoor» από το όνομα του ομώνυμου ιού και τύπου Trojan. Το Moudoor είναι ένα back door Trojan που χρησιμοποιεί η ομάδα ελεύθερα, χωρίς να ανησυχεί αν θα την ανακαλύψουν οι εταιρείες παροχής ασφαλείας. Η άλλη ομάδα δρα ως μία ειδική μονάδα λειτουργίας, με στελέχη που χρησιμοποιεί για να εμπλακεί με τους πιο πολύτιμους ή πιο ανθεκτικούς στόχους. Η ομάδα χρησιμοποιεί το Trojan με την ονομασία Naid και για αυτόν τον λόγο αναφερόμαστε στην ομάδα ως «Naid». Σε αντίθεση με τον Moudoor, το Naid Trojan χρησιμοποιείται με φειδώ, για να αποφευχθεί ο εντοπισμός και η σύλληψη, σαν ένα μυστικό όπλο που χρησιμοποιείται μόνο όταν η αστοχία δεν αποτελεί επιλογή.



Από το 2011 έχουμε εντοπίσει τουλάχιστον έξι σημαντικές δραστηριότητες από αυτό το γκρουπ. Η πιο αξιοσημείωτη από αυτές είναι η «VOHO» τον Ιούνιο του 2012. Αυτό που είχε ιδιαίτερο ενδιαφέρον σε αυτήν την επίθεση ήταν η χρήση της τεχνικής επίθεσης watering hole και η παραβίαση της «Bit9» υποδομής. Η επίθεση VOHO είχε ως τελικό στόχο τους εργολάβους/συνεργάτες του Υπουργείου Άμυνας των ΗΠΑ, των οποίων τα συστήματα προστατεύονταν από το λογισμικό Bit9. Η επιτιθέμενη ομάδα Hidden Lynx υπερπήδησε αυτό το εμπόδιο και ανακάλυψε ότι ο καλύτερος τρόπος για εισχώρηση στο σύστημα ήταν η παραβίαση του ίδιου συστήματος προστασίας. Μετά την παραβίαση, οι επιτιθέμενοι ανακάλυψαν γρήγορα τον τρόπο να εισχωρήσουν και στην υποδομή του «file signing», η οποία ήταν η βάση προστασίας του Bit9. Έπειτα, έκαναν χρήση του συστήματος για να υπογράψουν ηλεκτρονικά (file signing) έναν αριθμό αρχείων malware, τα οποία στη συνέχεια χρησιμοποιούσαν για να παραβιάσουν τους πραγματικούς στόχους.

Περισσότερες πληροφορίες:

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/hidden_lynx.pdf(αρχείο τύπου pdf)

http://www.zougla.gr/

0 σχόλια:

Δημοσίευση σχολίου

Σχολιάστε ότι διαβάζετε και βοηθήστε το κουνάβι να μάθει περισσότερα για το τι προτιμάτε να διαβάζετε!

 
Top