Zero
Quando la gente sente parlare di un attacco informatico o di hacking campagna, possono immagine di una macchina ben oliata che si è preso tempo, competenze e risorse per costruire.
Essi immaginare forum underground nel dark web, dove gli aggressori possono acquistare malware potente e scatenare la loro destinazione di scelta.
Ma cosa succede se, avendo accesso ai finanziamenti e i contatti necessari per consegnare gli attacchi con il potere dello stato-backed campagne, non era richiesto?
In alcuni casi, gli strumenti che possono essere utilizzati per condurre dannoso cyber operazioni, che vanno dallo spionaggio a prendere giù le infrastrutture sono liberamente disponibile sul web. Anche statali operazioni hanno approfittato di questi strumenti gratuiti, come parte di sofisticate campagne di cyber.
Ci sono diverse fonti per questo codice, che è comunemente disponibile sul forum sviluppatori e dalla repository di codice come GitHub. Ci sono spesso i messaggi che indica che il codice è solo per scopi di ricerca, ma che non smette di essere utilizzato per dolo.
A volte questo codice sorgente è rilasciato intenzionalmente; in altri casi è trapelato. EternalBlue, perdita di SMB exploit che, poche settimane dopo essere lasciato sciolto era utilizzato per alimentare globale WannaCry ransomware scoppio poi su di contribuire a diffondere NotPetya.
C’è anche una terza categoria di strumenti che, pur non essendo espressamente progettato per essere dannoso, può essere sfruttata per fornire attaccanti con la capacità di attraversare infetti reti, di sistemi di monitoraggio e di più.
“Ci sono cose che non sono di malware nel senso più stretto della parola, ma il post-sfruttamento strumenti, come Metasploit e Mimikatz malware che gli operatori utilizzano spesso,” dice Robert Lipovsky, senior malware ricercatore presso ESET.
Non importa l’origine dell’open source e di codice dannoso, fornisce agli attaccanti con un programma gratuito e facile mezzo di eseguire la criminalità informatica. Non c’è bisogno di aprire Tor e guadagnare credibilità nel buio di un forum web, prima di essere in grado di fare un acquisto, il codice può essere liberamente scaricata da internet normale.
“Questi strumenti sono così incredibilmente semplice che una volta che si scarica da GitHub, vai nel file di configurazione e cambiare le cose – è molto facilmente personalizzabili,” dice Randi Eitzman, senior minaccia informatica analista di FireEye. “Non avendo voglia di pagare per questi servizi, è già su internet per loro”.
Ci sono anche i forum e i video tutorial che consente agli aggressori, anche con il più basso livello di conoscenza per tentare di afferrare un pezzo di torta – soprattutto quando cryptocurrency di data mining è coinvolto.
Utilizzando la propria macchina per la mia per Monero o Bitcoin è perfettamente legale, mentre l’utilizzo di crypojacking malware di nascosto dirottare altre macchine per generare è un’attività criminale.
Vedi anche: che Cosa è il malware? Tutto quello che devi sapere su virus, trojan e malware
Tuttavia, le istruzioni su come impostare gli strumenti di data mining sono là fuori e prontamente disponibile.
“Ci sono tonnellate di video su YouTube e risorse su internet, il che significa che chiunque può cercare e tirare su un ‘come configurare il XMRig file di configurazione’ o ‘come impostare un pool personalizzato’. E ‘ molto facile, qualcuno che non codice può seguire questi tutorial online e farlo in un pomeriggio,” Eitzman dice.
In alcuni casi, il codice dietro il malware non è mai stato pensato per essere dannoso. Un esempio lampante di questo è Nascosto Lacrima, di cui da alcuni analisti come “open-source ransomware”. Il suo codice sorgente è stato pubblicato nel 2015 al di GitHub per scopi didattici, con l’attenzione di permettere agli utenti e ai ricercatori di esaminare e aiutare a sviluppare le protezioni contro il file-crittografia di malware.
Tuttavia, non passò molto tempo prima che le persone stavano prendendo il vantaggio di una connessione ransomware kit e Nascosto Strappo è diventato un modo facile per gli attaccanti con pochissima esperienza di estorcere denaro dal blocco di file, anche i bambini della scuola sono stati sempre in atto.
“Alcuni ragazzi sono stati arrestati per l’utilizzo di Nascosto Strappo per fare qualche soldo in più attorno alla scuola – sì, è sicuramente facile, la gente nei loro anni dell’adolescenza sono il fork di ransomware”, dice Chris Doman, security engineer presso AlienVault.
Originale Nascosti Strappo GitHub del progetto è stato abbandonato tre anni fa, ma a quel punto, gli aggressori avevano già messo le mani sul codice e aveva fatto una copia di esso, hanno anche continuato a migliorare e rendere più efficace.
Anche oggi, nonostante qualcosa di un calo del ransomware, i cyber criminali sono ancora armeggiare con la Nascosta Strappo codice, una nuova versione chiamata Poolezoor emerso nel mese di agosto, a dimostrazione di come una volta di codice dannoso viene rilasciato in natura, può essere un problema per gli anni a venire.
Nascosto Strappo è lungi dall’essere l’unico esempio di come i criminali di riutilizzare disponibili exploit. Il EternalBlue exploit ha iniziato la vita come un segreto NSA strumento di hacking, prima di essere scoperta da un gruppo di hacker e pubblicato online. Poche settimane più tardi EternalBlue era stato utilizzato per l’alimentazione del WannaCry ransomware, un enorme cyber attacco che ha preso di infrastrutture in tutto il mondo.
WannaCry non è stato l’unico attacco che ha sfruttato il worm capacità di sfruttare a diffondersi. NotPetya seguito l’esempio e criminali sempre più rivolto al apertamente disponibile EternalBlue come un mezzo per rendere il loro malware più potente. Esso è stato usato per migliorare trojan e viene ancora utilizzata per fornire cryptojacking malware.
Come il codice Nascosto dietro Strappo, EternalBlue è stato reso disponibile online gratuitamente, fornendo criminali informatici con accesso a potenti strumenti originariamente sviluppato da uno stato-nazione.
“EternalBlue sarebbe probabilmente un milione di dollari per fare, ma ora WannaCry e altri attacchi hacker sono libero sono in grado di cyber armi, che è un po ‘paura”, dice Doman.
Al di là di cyber criminali che approfittano di perdita di nazione-stato sviluppato strumenti, stato-nazione hacking operazioni si rivolgono sempre più a strumenti disponibili gratuitamente per gli aiuti di spionaggio e informatici altri campagne.
Vedi anche: Cyberwar: Una guida per la spaventosa online di conflitto
A fine 2015 e inizio 2016, gli attacchi informatici contro l’ucraina di distribuzione di energia elettrica ha portato in alcune parti del paese sofferenza tagli di potenza durante il più freddo e più buio dell’anno. Soprannominato Energia Nera, la campagna è fortemente sospettato di essere l’opera di stato russo sponsorizzato da hacker.
La campagna di phishing e costruito su misura malware sono caratterizzate da una minaccia estremamente sofisticata attore, ma ha anche approfittato di strumenti disponibili online.
In questo caso, è stato uno strumento liberamente disponibile su GitHub chiamato GCat backdoor, che consente agli aggressori di download di file eseguibili e di esecuzione della shell dei comandi. Attaccanti controllato il backdoor tramite un account Gmail, rendendo il traffico difficile da rilevare in rete come attaccanti andavano causare disagi.
Questo caso dimostra uno dei principali vantaggi dell’utilizzo di questi strumenti-sono più facilmente in grado di evitare la scoperta che la maggior parte delle forme di malware, come in molti casi, pur non essendo rilasciato per scopi dannosi, sono sfruttati per farlo-e può farlo senza attivare il rilevamento da parte del software di sicurezza.
“È in grado di scivolare sotto il radar di amministratori di rete”, dice Lipovsky “accesso Remoto, remoto strumenti di amministrazione, sono un buon esempio delle cose che può essere legittima o dannoso, a seconda di chi la usa.”
Un altro sospetto di hacking russo operazione, Turla, è noto anche per essere utilizzato software liberamente disponibile in attacchi, dimostrando come il potente alcuni degli strumenti disponibili tramite il web può essere.
“Quando l’esercito russo sta usando roba gratis, sapete bene che roba è come avere abbastanza soldi per costruire i propri strumenti”, dice Doman.
Essere liberi e potenzialmente molto potente, non sono solo benefici di usando il codice liberamente disponibile per i cyber criminali a causa di sourcing da GitHub offre i cyber criminali un altro grande vantaggio, rende gli attaccanti più difficili da tracciare.
“Si rende attribuzione più difficile, perché con su misura e personalizzati, malware, che spesso può essere attribuito a un gruppo di aggressori. Mentre con il codice utilizzato da molti operatori, è difficile dire chi la utilizza”, dice Lipovsky.
Questo rischia di diventare un problema più grande in futuro, come gli attaccanti, soprattutto APT gruppi — cercare di utilizzare queste tattiche per rendere gli attacchi più difficile da rilevare e tracciare.
Strumenti come Metaspolit e Mimikatz hanno scopi legittimi, ma può essere usato con cattiveria, mentre utilizzando lo stesso codice libero come gli altri attaccanti rende individuazione del malvivente molto più difficile.
“È solo andare a diventare sempre più difficile rilevare questi strumenti sono condivise, modificata e cambiata – è una grande sfida per andare avanti,” dice Eitzman.
Che non vuol dire che i gruppi di hacker stanno per essere voltando le spalle custom-built malware, ma la disponibilità di potenti strumenti gratuiti che possono essere sfruttati per scopi dannosi aggiunge un’altra stringa per l’attaccante dell’arco. “I criminali hanno sempre usato quello che possono ottenere le loro mani su,” dice Doman.
Tuttavia, questi attacchi non sono un cheat che permette agli aggressori di giocare l’hacking del gioco in modalità facile — quelli che utilizzano questi strumenti sono stati rilevati, e in alcuni casi hanno dovuto affrontare le conseguenze delle loro azioni.
E soprattutto, questi attacchi possono essere individuato e fermato, o addirittura protetto a titolo definitivo, se le organizzazioni hanno una presa stretta su quello che sta succedendo nella loro rete.
“Le imprese hanno bisogno di amministratori di sistema che conoscono la loro rete, che sanno ciò che è in esecuzione su quelle macchine e conoscere la rete, e di essere in grado di identificare i file e il comportamento che non dovrebbe essere lì”, dice Lipovsky.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Questo nuovo trojan malware utilizza trapelato codice sorgente di software legittimo per spiare su di voiUSA: Russia NotPetya il più distruttivo attacco mai [CNET]per il furto di Password, intercettazioni malware obiettivi di governo ucrainoQuasi impercettibile, Microsoft Office sfruttare installa malware senza un allegato di posta elettronica [TechRepublic]gli Hacker prendono di mira le Olimpiadi Invernali con il nuovo custom-built fileless malware
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0