פחות יכולות יותר הסוואה – כך פועלים ההאקרים המתוחכמים בעולם

חוקרי מעבדת קספרסקי ביצעו מחקר עומק של פלטפורמת ריגול הסייבר EquationDrug. מדובר בפלטפורמה וותיקה העומדת לצאת משירות, אך היה עדיין מספקת תובנות לגבי דרכי הפעולה של ההאקרים המתוחכמים בעולם, אלה שממומנים על ידי מדינות. במחקר עלה כי  השחקנים המתוחכמים ביותר בתחום ה- APT מתמקדים כעת בהקטנת מספר הרכיבים בפלטפורמות הזדוניות שלהם, כדי להפחית את יכולת הזיהוי שלהם ולהגדיל את ההסוואה.

"זה עלול להיראות חריג שפלטפורמת ריגול סייבר עוצמתית כמו EquationDrug לא מגיעה עם יכולות גניבה כחלק סטנדרטי מקוד הליבה שלה. התשובה היא שהם מעדיפים לבצע התאמה מדויקת של המתקפה עבור כל קורבן בנפרד. רק אם הם בחרו לנטר אותך באופן אקטיבי, ואם מוצרי האבטחה במערכת שלך נוטרלו, אתה תקבל פלאגין לניטור חי של שיחות או כל פעולת מעקב אחרת. אנו מאמינים שמודולאריות וקסטומיזציה יהפכו לסימן היכר ייחודי של תוקפים מגובי מדינה", מסביר קוסטין ראיו, מנהל צוות המחקר והניתוח הגלובלי של מעבדת קספרסקי.

הפלטפורמות העדכניות ביותר נושאות כעת מודולים רבים שניתן להוסיף, המאפשרים להם לבחור ולבצע טווח רחב של פעולות בהתאם לקורבן ולנתונים שהוא מחזיק. מעבדת קספרסקי מעריכה כי EquationDrug כולל 116 פלאגינים שונים.

"תוקפים מטעם מדינות מחפשים ליצור כלי ריגול סייבר אוניברסליים, אמינים, בלתי נראים ויציבים. הם מתמקדים ביצירת סביבות תוכנה בהן ניתן לעטוף קוד זדוני ולבצע בהן התאמה בתוך מערכת חיה. זאת, תוך שימוש בדרך אמינה לאחסן את כל הרכיבים והנתונים בצורה מוצפנת, שאינה נגישה למשתמשים רגילים התחכום של הסביבות האלה הופך את השחקנים האלה לנבדלים מעברייני הסייבר המסורתיים. האחרונים מעדיפים להתמקד בהשתלת קוד זדוני עם יכולות שנועדו להשגת רווחים מיידית", מוסיף ראיו

דרכים נוספות בהן תוקפים מטעם מדינות מבדלים את הטקטיקה שלהם מזו של עברייני הסייבר:

• היקף. עברייני סייבר מסורתיים מפיצים דואר אלקטרוני עם קבצים זדוניים בצורה המונית, או שהם מדביקים אתרי אינטרנט בהיקפים גדולים. בעוד שחקנים מגובי מדינה מעדיפים תקיפות נקודתיות וכירורגיות, המשפיעות רק על קומץ נבחר של משתמשים.
• גישה יחידנית. בעוד עברייני סייבר מסורתיים בדרך כלל עושים שימוש בקוד מקור הזמין לציבור, כגון זה של הטרויאנים זאוס או Cabeb, שחקנים מגובי מדינה בונים קוד זדוני ייחודי, ומותאם אישית. הם אפילו מטמיעים בו הגבלות אשר מונעות פיענוח הצפנה והפעלה מחוץ למחשב המטרה.
• שליפת מידע בעל ערך. עברייני סייבר, באופן כללי, מנסים להדביק כמות גדולה ככל האפשר של משתמשים. אך הם חסרים את הזמן ושטח האחסון כדי לבדוק את כל המכונות שהודבקו, ולנתח מי בעליהן, איזה מידע מאוחסן בהן, ואיזו תוכנה הן מריצות – ואז להעביר ולאחסן את כל המידע בעל פוטנציאל ערך.
  • כתוצאה מכך הם בונים קוד זדוני מסוג הכל-כלול, אשר ישלוף רק את המידע בעל הערך הגבוה ביותר, כגון סיסמאות ומספרי אשראי, מתוך המחשבים הפגועים – פעילות אשר יכולה להעלות אותם על המכ"ם של כל תוכנת אבטחה מידע שמותקנת בהם.
  • תוקפים בגיבוי מדינות לעומת זאת, הם בעלי משאבים לאחסן כל כמות מידע שירצו. כדי להתחמק מתשומת הלב ולהישאר בלתי נראים עבור תוכנות האבטחה, הם מנסים להימנע מהדבקה של משתמשים אקראיים. במקום זאת הם מתבססים על כלי ניהול מערכת מרחוק אשר מעתיק כל מידע שהם עלולים להיזדקק לו ובכל כמות. אך שיטת פעולה זו יכולה גם לפעול נגדם, משום שהעברת כמויות גדולות של נתונים מאיטה את החיבור לרשת ויכולה להעלות  חשד.

מוצרי מעבדת קספרסקי זיהו מספר ניסיונות התקפה על משתמשים באמצעות כלי פריצה שפותחו על ידי קבוצת Equation. רבות מההתקפות נכשלו בזכות טכנולוגית מניעת הפרצות האוטומטית אשר מזהה וחוסמת פרצות בלתי מוכרות באופן גנרי. תולעת Fanny שכנראה הופצה ביולי 2008 והייתה חלק מפלטפורמת Equation, זוהתה לראשונה ונרשמה על ידי המערכות האוטומטיות של מעבדת קספרסקי בדצמבר 2008.