Noll
Rocco | CC
Forskare har visat att nationalstaten hacka grupper är inte bara tillägnad slående mål utfärdas till dem, men också för att slåss med varandra.
På onsdag, Kaspersky Labs forskare presenterade sina resultat vid Virus Bulletin-konferensen i Woburn, MA, hävdar att sofistikerade hot aktörer som aktivt riktar sig till andra grupper i ett land-ta för offret data, såväl som ett sätt att kopiera varandras verktyg och känn varandras infrastruktur.
Även känd som SIGINT, eller den “fjärde part insamling praxis för att spionera på en spion som spionerar på någon annan,” enligt Global Research & Analysis Team (Bra), sådana attacker är sannolikt att lanseras av nationen-staten sponsrade grupper i syfte att rikta mindre sofistikerade grupper och utländska konkurrenter.
Det finns två huvudsakliga förhållningssätt till denna interna krigföring att grupper tenderar att ta. Den första, en “passiv” – modellen, som innebär att avlyssning av varandras data och kommunikation-till exempel, när kommandon utfärdas till en slav-system via en command-and-control (C&C) server. Kaspersky säger att sådana angrepp, när de utförs korrekt, kan vara “nästan omöjligt att upptäcka.”
Den “aktiva” – metoden, innebär dock att infiltrera en hacka koncernens infrastruktur. Medan mer sannolikt att upptäckas, dessa attacker kan leda till stöld av offer information, verktyg och en djup inblick i hur andra hot aktörer.
En vanlig taktik som används av staten sponsrade grupper mot varandra är installationen av bakdörrar i C&C-infrastruktur, vilket skapar uthållighet. Kaspersky upptäckte två sådana exempel i naturen, av vilka den ena i NetTraveler skadlig server, används för att rikta aktivister i Asien av en Kinesisk grupp.
Den andra hittades i C&C-infrastruktur anställd som Hukande Yeti även känd som Energisk Björn, en rysktalande hot grupp som har varit kopplade till angrepp mot den industriella branschen.
Men laget var inte lyckats spåra de grupper som konstruerade den bakdörrar.
En annan taktik som används för övervakning av skadliga webbplatser. I och med 2016, en koreansk-talande statligt sponsrad grupp dubbade DarkHotel värd skadliga skript för en annan grupp som kallas ScarCruft, som riktade ryska, Kinesiska och sydkoreanska offer.
“DarkHotel drift datum från och med April 2016, medan ScarCruft attacker genomfördes en månad senare, vilket tyder på att ScarCruft kan ha observerat den DarkHotel attacker innan de lanserar sina egna,” teamet säger.
Ibland, dock, hot grupper väljer att spela bra och dela, snarare än att stjäla.
Kaspersky funnit att en server som tillhör Magnet av Hot, en grupp från Mellanöstern, även värd för implantat och skadliga verktyg som används av hacking grupper Regin, Ekvation Grupp, Turla, ItaDuke, Animal Farm, och Careto — engelska, ryska, franska och spanska-tal samhällen, respektive.
Dela sofistikerade verktyg och data har en baksida-som det var denna server vilket ledde till upptäckten av Ekvationen Grupp, som senare visade sig vara kopplade till US National Security Agency (NSA).
Den ständiga stöld, kopiering, och inre strider mellan staten sponsrade grupper är att göra rollen som säkerhet forskare svårare eftersom tiden går. Utan ett tydligt “signaturer” i varje grupp, spåra vem som ansvarar för vad kan vara mycket svårt, och utan att vara försiktig, kunde attribut attacker från olika länder och grupper som är felaktigt.
“Attribution är svårt i den bästa av tider som ledtrådar är sällsynta och lätt manipuleras, och nu har vi också möjlighet att väga in effekterna av hot aktörer hacka varandra”, säger Juan Andres Guerrero-Saade, Rektor säkerhetsforskare på Kaspersky. “Eftersom fler grupper dra nytta av varandras verktygslådor, offer och infrastruktur, sätta in sina egna implantat eller anta identiteten av sina offer för att montera ytterligare attacker, där kommer att lämna hot jägare försöker att bygga upp en tydlig och korrekt bild?”
0