KasperskyLab: ataki hakerskie na firmy 2013

Przeczytaj także: Zagrożenia internetowe I kw. 2013

Co jest przedmiotem kradzieży

Cyberprzestępców interesuje kradzież wszelkiego rodzaju informacji. Może to być przełomowa technologia rozwijana przez firmy i instytuty badawcze, kody źródłowe oprogramowania, dokumenty finansowe i prawne, informacje osobiste dotyczące pracowników i klientów oraz wszelkie inne informacje, które mogą stanowić tajemnicę handlową. Tego rodzaju informacje często są pisane czystym tekstem i przechowywane w sieciach korporacyjnych w formie dokumentów elektronicznych, dokumentów roboczych, raportów, rysunków, prezentacji, obrazów itd.

Jak pisaliśmy wcześniej, cyberprzestępcy stosują różne podejścia do gromadzenia danych. Niektóre szkodliwe programy zbierają praktycznie wszystkie rodzaje dokumentów elektronicznych. Na przykład, Red October był zainteresowany dokumentami w formatach txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau itp. i wysyłał je wszystkie do serwerów kontroli.

Inne podejście, które zidentyfikowaliśmy na przykładzie Kimsuky i Icefog, polega na ręcznej analizie danych przechowywanych w sieciach korporacyjnych przy użyciu technologii zdalnego dostępu, które są zintegrowane w szkodliwym oprogramowaniu znajdującym się na zainfekowanych stacjach roboczych, a następnie kopiowaniu dokumentów poszukiwanych przez lub stanowiących wartość dla cyberprzestępców. Przeprowadzając takie ataki, cyberprzestępcy uwzględniają wszystkie dane dotyczące atakowanej firmy i dokładnie wiedzą, jakie formaty danych są w niej wykorzystywane i jakie rodzaje informacji są tam przechowywane. A zatem, podczas ataków Kimsuky i Icefog firmy, które stanowiły cel tych szkodników, utraciły dokumenty specyficzne dla ich działalności, przechowywane w formacie HWP, który jest powszechnie wykorzystywany w Korei Południowej.

Powstanie cybernajemników

Podczas analizy najnowszych ataków ukierunkowanych doszliśmy do wniosku, że wyłoniła się nowa kategoria osób atakujących. Określamy ich mianem cybernajemników. Są to zorganizowane grupy wysoce wykwalifikowanych hakerów, którzy mogą zostać wynajęci przez rządy lub prywatne firmy w celu zorganizowania i przeprowadzenia złożonych, skutecznych ataków ukierunkowanych, których celem jest kradzież informacji oraz niszczenie danych lub infrastruktury.

Cybernajemnicy otrzymują kontrakt, w którym wyszczególnione są cele i znajduje się opis zadania do wykonania, po czym zaczynają staranne przygotowania do ataku i przeprowadzają go. O ile wcześniejsze ataki były przeprowadzane w celu kradzieży wszystkich rodzajów informacji, obecnie cybernajemnicy dążą do zdobycia bardzo konkretnych dokumentów lub kontaktów osób, które mogą znajdować się w posiadaniu poszukiwanych informacji.

W 2013 roku badaliśmy aktywność grupy cybernajemników Icefog, która przeprowadzała ataki ukierunkowane pod tą samą nazwą. Podczas badania udało nam się zlokalizować dziennik aktywności operatora Icefoga, w którym wyszczególnione były wszystkie aktywności związane z atakiem. Z dziennika tego wynikało, że cyberprzestępcy nie tylko dobrze znają język chiński, koreański i japoński, ale również wiedzą dokładnie, gdzie szukać informacji, które ich interesują.

Konsekwencje ujawniania informacji

W 2013 roku zostały ujawnione informacje o atakach przeprowadzonych przy użyciu oprogramowania spyware związanych, bezpośrednio lub pośrednio, z działalnością różnych rządów. Rewelacje te mogłyby potencjalnie spowodować utratę zaufania do globalnych serwisów oraz korporacji i większego zainteresowania stworzeniem krajowych odpowiedników globalnych serwisów. Mogłoby to prowadzić do swoistej deglobalizacji, powodując rosnące zapotrzebowanie na technologie informacyjne w ogóle, a jednocześnie fragmentację użytkowników globalnej sieci i swego rodzaju segmentację serwisów online. W wielu państwach istnieją lokalne wersje globalnych serwisów, łącznie z krajowymi wyszukiwarkami, serwisami pocztowymi, krajowymi komunikatorami, a nawet lokalnymi portalami społecznościowymi.

Tę rosnącą liczbę nowych krajowych produktów w postaci oprogramowania i usług oferują krajowi producenci. Firmy te mają zwykle mniejsze rozmiary i budżety niż liderzy na globalnym rynku. W efekcie, ich produkty mogą nie być tak wysokiej jakości jak te oferowane przez większe międzynarodowe korporacje. Nasze doświadczenie w zakresie badania cyberataków sugeruje, że im mniejszy i mniej doświadczony twórca oprogramowania, tym więcej luk w zabezpieczeniach zostanie wykrytych w kodzie. W rezultacie, ataki ukierunkowane stają się łatwiejsze i bardziej efektywne.

Co więcej, ponieważ państwa przejmują inicjatywę w kontrolowaniu zasobów informacyjnych i sprzętowych, niektóre z nich mogą prawnie obligować lokalne firmy do wykorzystywania krajowych produktów w postaci oprogramowania lub serwisów online, co w konsekwencji może wpłynąć również na bezpieczeństwo sektora korporacyjnego.