Ce tip de instrumente folosesc hackerii pentru atacuri de spionaj cibernetic?

04.05.2016

Cercetătorii din cadrul companiei Kaspersky Lab au descoperit o nouă practică în materie de spionaj cibernetic: în loc să dezvolte instrumente personalizate de atac sau să le cumpere de la alți furnizori, pe piața neagră, infractorii folosesc instrumente disponibile pe Internet, pentru cercetare. Astfel, experții au descoperit, recent, mai multe campanii de spionaj cibernetic care folosesc astfel de metode.

„Această tendință demonstrează nu doar că scade costul necesar pentru un atac cibernetic periculos, ci și că instrumentele devin mai eficiente și mai accesibile. Mai exact, chiar și grupurile de hackeri mai puțin profesioniști și cu mai puține resurse pot deveni acum o amenințare pentru utilizatorii individuali și pentru companii. În plus, folosirea unor instrumente legitime pentru teste de vulnerabilitate (pentesting) face astfel de atacuri mai puțin vizibile pentru soluțiile de securitate”, afirmă aceştia.

Modul de exploatare a browser-ului sau BeEF (Browser Exploitation Framework) este un astfel de instrument. Inițial, a fost dezvoltat de experți pentru a face testele de securitate pentru browsere mai eficiente și mai simple, iar acum este folosit de mai multe grupări de spionaj cibernetic din lume.

Pentru a profita de vulnerabilitățile din browserele vizate, hackerii compromit site-uri de interes, plasează conținutul BeEF, iar apoi nu fac decât să aștepte ca potențiale victime să viziteze aceste site-uri. Conținutul BeEF le permite să identifice în mod precis sistemul și utilizatorul pentru furtul și folosirea datelor de autentificare. Acestea, la rândul lor, sunt utilizate pentru a putea descărca alte programe malware într-un dispozitiv compromis.

Această tactică se numește “watering hole” și este adesea folosită de “actorii” de spionaj cibernetic. În timpul cercetării, specialiștii Kaspersky Lab au reușit să identifice zeci de astfel de site-uri de tip “watering holes”.

Genul site-ului și subiectele abordate acolo dezvăluie numeroase informații despre tipurile de ținte potențiale:

O ambasadă a unei țări din Orientul Mijlociu, în Federația Rusă

O școală militară indiană

O autoritate guvernamentală regională

Un dispozitiv de control industrial din Ucraina

O agenție UE de sprijin în domeniul educației

O organizație de comerț exterior din Federația Rusă

Instituții media și politice din Kazahstan

O agenție de știri din Turcia

O școală de muzică din Germania

O organizație japoneză de control din industria textilă

O organizație filantropică din Orientul Mijlociu

Un blog popular de lifestyle din Marea Britanie

Platforma de cursuri online a unei universități algeriene

Un grup de construcții din China

Forumul unui dezvoltator de jocuri din Rusia

Un dezvoltator român de jocuri pentru platforma Steam

O companie din China care vinde aur virtual pentru jocuri online

Un retailer brazilian de instrumente muzicale

“Am văzut anterior grupări de spionaj cibernetic care folosesc teste de vulnerabilitate (pentesting), fie împreună cu propriile programe malware, fie singure. Ce este diferit de data aceasta este că vedem din ce în ce mai multe grupuri folosind BeEF. Noutatea ar trebui să fie luată în considerare de departamentele de securitate IT ale companiilor, pentru a proteja organizația de acest nou vector de amenințare”, a declarat Kurt Baumgartner, principal security researcher la Kaspersky Lab.

Citiți și despre: