Zero
Rocco | CC
I ricercatori hanno rivelato che stato-nazione gruppi di hacker non sono solo dedicato a colpire bersagli emesso a loro, ma anche per la lotta tra di loro.
Mercoledì, Kaspersky Labs ricercatori hanno presentato i loro risultati alla conferenza Virus Bulletin a Woburn, MA, sostenendo che il sofisticato minaccia attori sono in modo proattivo destinati ad altri gruppi in una terra-benna per la vittima di dati, così come un mezzo di copia di tutti gli altri strumenti di sonda e di ogni altra infrastruttura.
Noto anche come SIGINT, o il “quarto partito prassi di raccolta di spiare spia spiare qualcun’altro” secondo il Global Research & Analysis Team (Grande), tali attacchi sono più probabilità di essere lanciato da nazione-stato sponsorizzato gruppi in ordine alla destinazione meno sofisticati gruppi e concorrenti straniere.
Ci sono due approcci principali per questo le lotte interne che i gruppi tendono a prendere. Il primo, un “passivo” modello”, prevede l’intercettazione di ogni altri’ dati e la comunicazione, per esempio, quando i comandi vengono emessi per un slave usando un sistema di comando e controllo (C&C) server. Kaspersky dice che tali attacchi, se condotta correttamente, può essere “quasi impossibile da rilevare.”
Il “attivo” approccio, tuttavia, comporta l’infiltrazione di un gruppo di hacker infrastrutture. Mentre più probabilità di essere rilevati, questi attacchi possono causare il furto di vittima di informazioni, strumenti, e una profonda comprensione di come minaccia, attori operare.
Una tattica comune usato da stato sponsorizzato da gruppi uno contro l’altro è l’installazione di backdoor nel C&C infrastrutture, che crea la persistenza. Kaspersky ha scoperto due esempi in natura, di cui uno in NetTraveler server maligno, la cui destinazione attivisti in Asia da parte di un gruppo Cinese.
Il secondo è stato trovato nei C&C infrastrutture impiegato da Crouching Yeti noto anche come Energico Orso, una di lingua russa minaccia di gruppo che è stato collegato agli attacchi contro il settore industriale.
Tuttavia, la squadra non è stata in grado di tracciare i gruppi che ha progettato la backdoor.
Un’altra tattica impiegata è la sorveglianza di siti web dannosi. Nel 2016, un coreano di lingua statali per il gruppo soprannominato DarkHotel ospitato script dannosi per un altro gruppo chiamato ScarCruft, mirata a russo, il Cinese e della corea del Sud vittime.
“Il DarkHotel operazione date da aprile 2016, mentre il ScarCruft attacchi sono stati implementati un mese più tardi, suggerendo che ScarCruft può avere osservato il DarkHotel attacchi prima di lanciare la sua propria, il” team dice.
A volte, tuttavia, la minaccia di gruppi decidono di bel gioco e condividere, piuttosto che rubare.
Kaspersky ha rilevato che un server di proprietà di un Magnete di Minacce, un gruppo del Medio Oriente, ha ospitato anche gli impianti e strumenti dannosi utilizzato da gruppi di hacker Regin, Equazione di Gruppo, Turla, ItaDuke, Animali da Fattoria, e Careto — inglese, russo, francese e spagnolo-comunità di lingua, rispettivamente.
La condivisione di strumenti sofisticati e i dati non hanno un rovescio della medaglia-come è stato questo server che ha portato alla scoperta dell’Equazione del Gruppo, ha poi rivelato di essere collegato a la US National Security Agency (NSA).
La costante di furto, la copia e lotte interne tra stato sponsorizzato da gruppi stanno facendo il ruolo di ricercatore di sicurezza più difficile con il passare del tempo. Senza una chiara “firme” di ogni gruppo, di monitoraggio, che è responsabile di che cosa può essere molto difficile, e senza essere cauti, si potrebbe attribuire attacchi da parte di diversi paesi e gruppi in modo non corretto.
“L’attribuzione è difficile il più delle volte come indizi sono rari e facilmente manipolabile, e ora abbiamo anche il fattore di impatto della minaccia attori hacking”, disse Juan Andres Guerrero-Saade, Principal Security Researcher di Kaspersky. “Come più gruppi di sfruttare ogni altro toolkit, le vittime e le infrastrutture, inserire le loro impianti o adottare l’identità della vittima, per montare un attacco, dove sarà che minaccia di lasciare i cacciatori che cercano di costruire un chiaro quadro preciso?”
0