Apdraudējumi

Pētot kaitīgo platformu EquationDrug, kas ir izmantota skandalozās Equation Group uzbrukumos, Kaspersky Lab speciālisti ir atklājuši vairākas jaunas īpatnības, kas valstu sponsorētās kiberspiegošanas kampaņas atšķir no parastām kibernoziedzīgām operācijām. Valsts iestāžu atbalstītie uzbrukumi kļūst arvien sarežģītāki: rīkotāji ne tikai rūpīgi atlasa viņus interesējošos upurus, bet arī cenšas palielināt izmantojamās platformas programmatūras komponentu daudzumu, lai tādējādi varētu pēc iespējas ilgāk slēpt savu klātbūtni inficētajā sistēmā. Tieši šāda pieeja ļauj uzbrucējiem gadiem ilgi netraucēti īstenot savas kiberspiegošanas operācijas. 

Vismodernākajām uzbrukumu platformām ir liels daudzums iebūvētu moduļu, kas ļauj izmantot plašu kaitīgo instrumentu spektru un turklāt izvēlēties vispiemērotāko ļaunprogrammatūru kopumu atkarībā no konkrētā upura īpatnībām un tās informācijas, kas ir viņa rīcībā. Piemēram, Kaspersky Lab aplēses liecina, ka platforma EquationDrug satur 116 dažādu programmatūras moduļu.

Turklāt valstu sponsorētās kampaņas ievērojami atšķiras no citiem uzbrukumiem ar mērogu. Kā zināms, kibernoziedznieki cenšas aptvert pēc iespējas vairāk lietotāju, un tieši tāpēc viņi bieži izmanto lielapjoma e-pasta sūtījumus ar kaitīgiem pielikumiem vai mērķtiecīgi inficē populāras tīmekļa vietnes. Atšķirībā no viņiem valdību atbalstītie uzbrucēji īsteno precīzus un labi pārdomātus triecienus pa nedaudziem iepriekš izvēlētiem upuriem.

Par ieročiem šādos uzbrukumos vienmēr tiek izmantotas oriģinālas ļaunprogrammatūras, kas ir izstrādātas, ņemot vērā operācijas vajadzības. Rīkotāji pat var izveidot iestatījumus, kas aizliedz ļaunprogrammatūras izmantošanu ārpus konkrētā inficētā datora. Savukārt vienkāršie kibernoziedznieki parasti nekaunas izmantot atklāta un pieejama kaitīgā koda iespējas, piemēram populāros Trojas zirgus Zeus vai Carberp.

Kibernoziedznieki spēj inficēt tūkstošiem lietotāju visā pasaulē, taču viņiem nav iespēju izanalizēt, kas ir viņu upuri un kāda informācija ir šo upuru rīcībā, tāpēc viņi izmanto universālas ļaunprogrammatūras, kas ir ieprogrammētas zagt visvērtīgāko informāciju: paroles, kredītkaršu numurus utt. Šādos gadījumos uzbrucēji arī cenšas pēc iespējas ātrāk pārsūtīt datus no inficētā datora uz savu serveri — un tieši šīs īpatnības piesaista potenciālo upuru datoros instalēto drošības programmu uzmanību.

Savukārt speciālistiem, kas rīko kiberuzbrukumus ar valsts atbalstu, ir visi nepieciešamie resursi, lai vāktu un glabātu inficētajā datorā visu viņus interesējošo informāciju — viņiem nav ne laika, ne apkopojamo datu apjoma ierobežojumu. Šie uzbrucēji nepiesaista drošības programmatūru uzmanību, jo rūpīgi izvairās inficēt nejaušus lietotājus. Viņi bieži izmanto sistēmas attālinātas kontroles rīkus, kas ļauj kopēt jebkādu informāciju jebkādos apjomos. Taču arī šai pieejai ir vājā vieta — lielu datu masīvu pārvietošana var palēnināt tīkla savienojumu, kas savukārt var izraisīt aizdomas.

«Valstu finansēto uzbrukumu organizētāji cenšas veidot stabilākus, uzticamākus un nemanāmākus kiberspiegošanas instrumentus. Tas ir saistīts ar faktu, ka informācijas drošības eksperti arvien biežāk atklāj viņu darbību. Tieši šī iemesla dēļ tagad viņi vairāk uzmanības velta tādai kaitīgā koda «iesaiņošanas» metodei, kas viņiem ļautu jau procesā pielāgoties konkrētu upuru sistēmām un nodrošinātu iespēju glabāt visus komponentus un datus šifrētā veidā. Citiem vārdiem sakot, valdību uzturētās kiberspiegošanas kampaņas pašlaik pirmām kārtām balstās uz uzbrukumiem paredzēto platformu arhitektūras daudzmodularitāti un sarežģītību un tikai pēc tam uz to funkcionalitāti,» paskaidro Kaspersky Lab globālā draudu izpētes un analīzes centra vadītājs Kostins Raju.

Viens no Kaspersky Lab konstatētās tendences visspilgtākajiem apstiprinājumiem ir platforma EquationDrug, kas ir Equation Group galvenais spiegošanas instruments. Uzbrucēji to izmanto jau vairāk nekā desmit gadu, taču pēdējā laikā to izkonkurē vēl sarežģītākā platforma GrayFish. Tomēr šādu kiberspiegošanas operāciju sarežģīšanās pirmās pazīmes Kaspersky Lab speciālisti novēroja jau kampaņu «Maska» un Regin izmeklēšanas gaitā.

Par kiberspiegošanas platformas EquationDrug raksturīgajām iezīmēm var vairāk izlasīt Kaspersky Lab analītiskajā pārskatā, noklikšķinot uz saites https://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform.