Špijuni hakuju, ali i špijuniraju druge špijune

Vesti, 05.10.2017, 08:00 AM

Dok su sajber špijuni iz grupe poznate pod nazivo NetTraveler bili zauzeti špijuniranjem svojih brojnih žrtava, među kojima su državne i vojne institucije, nisu ni primetili da ih druga hakerska grupa špijunira.

Tokom istrage o NetTraveleru, istraživači iz Kaspersky Laba, otkili su neobičan backdoor koji bi mogao da posluži drugim napadačima da pristupe jednom od njihovih glavnih servera i koriste infrastrukturu grupe ili da ukradu njihove podatke.

U poslednjih pet godina, stručnjaci za sajber bezbednost su se susreli sa nekoliko slučajeva u kojima su špijunske grupe špijunirale druge, takve grupe verovatno tražeći podatke i hakerske alate konkurenata.

O tome su ove nedelje govorili stručnjaci Kaspersky Laba Kostin Raiu i Huan Andre Guero-Sade na konferenciji Virus Bulletin 2017 koja se održava u Madridu. Oni kažu da se dešava da "državni" hakeri ponekad dolaze do podataka tako što ih kradu od drugih i da podaci građana mogu dospeti u ruke strane obaveštajne agencije koja je bolje opremljena od domaće agencije.

Istraživači su pokazali nekoliko primera do kojih su došli istražujući APT (Advanced Persistent Threat) kampanje grupa Crouching Yeti (Energetic Bear), HackingTeam i ProjectSauron.

Dok su analizirali njihove napade, istraživači su se susreli sa kodom i nekim drugim identifikujućim informacijama koje su verovatno ostavili sajber špijuni koji su špijunirali ove špijunske grupe.

Jedan od takvih primera je grupa Crouching Yeti koja je bila aktivna od 2010. do 2014. Dok su analizirali web sajt koji je hakovala grupa Crouching Yeti koja ga je koristila kao komandno-kontrolni server, za slanje komandi, istraživači su primetili neobičnu sliku veličine piksela koja je bila sakrivena na jednoj web stranici. Kad god bi se web stranica učitala, slika je kontaktirala IP adresu u Kini, još jedan hakovani server. Istraživači kažu da je sliku koristila druga špijunska grupa za špijuniranje grupe Crouching Yeti.

Istraživači su govorili i o hakerskim alatima italijanske kompanije Hacking Team, koja ih prodaje vladama i policijama. Kada je 2015. hakovan Hacking Team, alati kompanije su se pojavili na internetu. Među procurelim alatima bili su 0-day exploiti i malveri. Samo nekoliko dana posle toga primećeno je da špijunska grupa DarkHotel koristi Flash exploit Hacking Teama.

Još jedan primer o kome su govorili istraživači Kaspersky Laba je platforma za sajber špijunažu ProjectSauron, poznata i pod imenom Strider, koja je izvlačila šifrovane komunikacije vlada i kompanija pomoću alata koji su prilagođavani svakoj žrtvi i okruženju u kom su alati instalirani. Grupa je koristila različita imena i veličine za malver, inspirisana pretnjama Duqu, Flame, Regin i Equation.

Nekoliko je mogućih razloga zašto bi sajber špijuni krali jedni od drugih, kažu istraživači kompanije Kasperski Lab. Na primer, špijuni mogu imati poteškoća u nadgledanju ciljeva na određenom geografskom području, tako da napadači mogu iskoristiti server koji pripada ne tako naprednoj grupi koja već "posluje" u određenom regionu.

Male špijunske grupe mogu dobiti supermoći pozajmljujući alate od veštijih napadača. Exploiti, implanti, skripte i izvorni kod koji se nalaze na serverima mogu povećati kreativnost grupe i smanjiti troškove budućeg napada. Primer koji to ilustruje su procureli exploiti Hacking Teama i grupe Equation. Njih su koristile grupe DarkHotel i Lazarus .

Ali zaista napredne grupe više vole da razvijaju sopstvene alate, kažu istraživači.

S obzirom na to da se dešava da jedni špijuni koriste alate i infrastrukturu drugih špijuna, a čak i izvode napade u nečije ime, istraživačima postaje sve teže da dokažu ko zaista stoji iza neke kampanje.

Zbog ovoga, istraživači iz Kaspersky Laba kažu da njihove kolege moraju shvatiti svoja ograničenja prilikom pripisivanja napada.