Ezt az új trendet az EquationDrug kiberkémkedési platform alapos elemzése is megerősítette. A Kaspersky Lab specialistái azt figyelték meg, hogy miután az iparág egyre sikeresebb a fejlett állandó fenyegetések (APT-k) mögött álló csoportok leleplezésében, a legkifinomultabb fenyegetéseket bevető szereplők most a rosszindulatú platformjuk alkotóelemei számának növelésére helyezik a hangsúlyt annak érdekében, hogy láthatatlanok maradjanak.
A legújabb platformok sok bővítményt tartalmaznak, ami lehetővé teszi a számos különböző funkció közül kiválasztani és végrehajtani a megfelelőt, az adott célszemélytől és az általa birtokolt információktól függően. A Kaspersky Lab becslései szerint az EquationDrug 116 különböző bővítményt tartalmaz.
“Az állam által szponzorált támadók egyre stabilabb, megbízhatóbb, láthatatlanabb és univerzálisabb kiberkémkedési eszközöket készítenek. Arra összpontosítanak, hogy a kódokat olyan keretrendszerbe csomagolják, amely testreszabható élő rendszerekben, és amely megbízható módot kínál az összes alkotóelem és adat tikosított formában való tárolásához, hozzáférhetetlenné téve azokat a közönséges felhasználók számára.”- magyarázta Costin Raiu, a Kaspersky Lab globális kutató és elemző csapatának vezetője. A keretrendszer összetettsége az, amely megkülönbözteti ezeket a szereplőket a hagyományos kiberbűnözőktől, akik a közvetlen pénzügyi nyereség elérését megvalósító malware képességekre fókuszálnak.”
További tényezők, amelyek megkülönböztetik az állam által szponzorált támadók taktikáját a hagyományos kiberbűnözőkétől:
Mérték. A hagyományos kiberbűnözők tömegesen terjesztik rosszindulatú csatolmányokkal ellátott e-mailjeiket és nagy számban fertőznek meg weboldalakat, ezzel szemben az állam által támogatott szereplők gondosan célzott, mérnöki pontossággal kiválaszott, csupán maroknyi számú felhasználót fertőznek meg.
Egyedi megközelítés. Míg a hagyományos kiberbűnözők jellemzően újra felhasználják a nyilvánosan elérhető forráskódokat, például a hírhedt Zeus vagy Carberb trójait. Addig az állam által szponzorált támadók egyedi, testreszabott malware-eket hoznak létre, ráadásul olyan korlátozásokkal, amelyek megakadályozzák a kód célszámítógépen kívüli visszafejtését és végrehajtását.
Fontos információk kinyerése. Általában a kiberbűnözők annyi felhasználót kísérelnek megfertőzni, amennyit csak lehetséges. Azonban az idő és a tárolási kapacitás hiánya miatt nem tudják ellenőrizni az összes megfertőzött gépet, megállapítani azok tulajdonosát, megvizsgálni a rajtuk tárolt adatokat és futtatott szoftvereket – majd kiválogatni közülük az összes, potenciálisan érdekes információt.
- Emiatt olyan tolvaj malware-eket készítenek, amelyek csak a legértékesebb adatokat, például a jelszavakat és a bankkártya-számokat szűrik ki az áldozat készülékéről – ez azonban olyan tevékenység, amellyel azonnal felhívják magukra a telepített biztonsági szoftver figyelmét.
- Az állam által szponzorált támadók ezzel szemben rendelkeznek a megfelelő erőforrásokkal, hogy annyi adatot tárolhassanak, amennyit csak akarnak. Ahhoz, hogy észrevétlenek maradjanak a biztonsági megoldások számára, elkerülik azt, hogy véletlenszerűen fertőzzenek meg felhasználókat, és egy általánosan használt távoli rendszerfelügyeleti eszközre hagyatkoznak, amely bármilyen és bármennyi információt képes lemásolni, amelyre szükségük lehet. Ugyanakkor ez a megoldás ellenük is fordulhat, hiszen a hatalmas mennyiségű adat lelassíthatja a hálózati kapcsolatot, és gyanút ébreszthet.
“Szokatlannak tűnhet, hogy egy olyan erős kiberkémkedési platform, mint az EquationDrug nem tartalmaz minden lopási képességet a malware magjában. Ennek az az oka, hogy minden támadást testre szabnak az áldozattól függően. Csak azt követően, hogy aktívan megfigyeltek minket és hatástalanították a biztonsági megoldásainkat, kapjuk meg azt a bővítményt, amely lehetővé teszi a beszélgetéseink és más tevékenységeink élő követését. Véleményünk szerint a modularitás és a testreszabhatóság lesz az állam által támogatott támadók egyedi védjegye a jövőben.” – mondta Costin Raiu.
Az EquationDrug az Equation Group által kifejlesztett fő kémkedési platform. Több mint egy évtizeden keresztül használták, bár mára nagyrészt átvette a helyét a még nála is kifinomultabb GrayFish. Az EquationDrug elemzése által megerősített taktikai trendeket a Kaspersky Lab tárta fel először, miközben a Careto, a Regin és más kiberkémkedési kampányokat vizsgálta.
A Kaspersky Lab termékei számos támadási kísérletet észleltek a felhasználóik ellen, amelyeket a Equation Group malware-eiben alkalmazott kihasználó kódokkal követtek el. Sok ilyen támadás nem járt sikerrel az automatikus kihasználás elleni védelem technológiának köszönhetően, amely felderíti és blokkolja az ismeretlen sebezhetőségek kihasználására tett kísérleteket. A Fanny nevű féreg, amelyet feltehetőleg 2008 júliusában kompiláltak, az Equation platform része, és először a vállalat automatikus rendszerei derítették fel, és helyezték feketelistára 2008 decemberében.
