Μια έκθεση που δημοσιεύθηκε σήμερα αποκαλύπτει ότι οι μονάδες hacking που υποστηρίζονται από την κυβέρνηση της Βόρειας Κορέας μισθώνουν την πρόσβαση σε elite εργαλεία hacking και την πρόσβαση σε hacked δίκτυα από τους χειριστές του botnet TrickBot.
Η αποκάλυψη έρχεται να επιβεβαιώσει μια τάση που παρατηρήθηκε τα τελευταία χρόνια – δηλαδή ότι οι γραμμές μεταξύ της τακτικής εγκληματικότητας στον κυβερνοχώρο και των κυβερνητικών επιχειρήσεων κατασκοπείας σε εθνικό επίπεδο θολώνουν. Αυτή η τάση ήρθε στο φως το 2017 όταν μια έκθεση αποκάλυψε πώς ο εγκέφαλος πίσω από το GameOver Zeus malware βοήθησε την Russian intelligence να συλλέξει ευαίσθητα έγγραφα από τους υπολογιστές που μολύνει.
Αλλά ο Bogatchev δεν ήταν μεμονωμένη περίπτωση. Μόλις την περασμένη εβδομάδα, οι ΗΠΑ συνέλαβαν τον διαχειριστή του botnet λογισμικού malware Dridex, κατηγορώντας τον για το ίδιο πράγμα – για τη συνεργασία με την κρατική υπηρεσία πληροφοριών της Ρωσίας στην αναζήτηση ευαίσθητων δεδομένων.
Αυτές οι δύο περιπτώσεις δείχνουν άμεση επαφή μεταξύ των δημιουργών του δημοφιλούς κακόβουλου λογισμικού και της συγκέντρωσης πληροφοριών μιας χώρας.
Στην πραγματικότητα, αυτές οι γραμμές έχουν θολώσει σε πολύ χαμηλότερο επίπεδο. Για χρόνια, έχουμε δει τις ομάδες hacking των εθνικών κρατών να υιοθετούν κακόβουλα προϊόντα. Αντί να αναπτύξουν τα δικά τους εργαλεία, οι κρατικοί φορείς εκμετάλλευσης επιλέγουν να αγοράσουν κακόβουλο λογισμικό που είναι ήδη διαθέσιμο για πώληση στο διαδίκτυο.
Αυτό τους βοηθά να αποκρύπτουν “στοχοθετημένες” επιχειρήσεις, που διαπράττονται από hacker με οικονομικά κίνητρα.
Σε μια έκθεση που δημοσιεύθηκε σήμερα από την εταιρία SentinelOne για την ασφάλεια στον κυβερνοχώρο, μαθαίνουμε μια νέα σύνδεση μεταξύ μιας ομάδας υποστήριξης που υποστηρίζεται από το κράτος (ομάδα Lazarus της Βόρειας Κορέας) και του TrickBot.
Σύμφωνα με την ομάδα SentinelOne, ο όμιλος Lazarus έχει γίνει πρόσφατα πελάτης της συμμορίας TrickBot, από την οποία μισθώνει πρόσβαση σε ήδη μολυσμένα συστήματα, μαζί με ένα νέο τύπο πλαισίου επίθεσης που οι ερευνητές καλούν Anchor. Το SentinelOne περιγράφει το Anchor ως “μια συλλογή εργαλείων” που συνδυάζεται μαζί σε ένα νέο στέλεχος malware. Το στέλεχος του κακόβουλου λογισμικού Anchor παρέχεται ως μονάδα TrickBot.
Το TrickBot είναι ένα από τα κορυφαία τρία botnets malware σήμερα, μαζί με τα Emotet και Dridex. Πρόκειται για ένα γιγαντιαίο δίκτυο υπολογιστών που έχουν μολυνθεί με το TrojanBot trojan. Ωστόσο, το TrickBot είναι επίσης μια επιχείρηση Cybercrime-as-a-Service. Η συμμορία TrickBot μισθώνει την πρόσβαση σε υπολογιστές που έχουν μολυνθεί με TrickBot σε άλλες συμμορίες κακόβουλων προγραμμάτων.
Αυτές οι συμμορίες ποικίλλουν από φορείς εκμετάλλευσης ransomware έως σε απευθείας σύνδεση spammers, απατεώνες και πολλά άλλα. Οι ενοικιαστές μπορούν να χρησιμοποιήσουν το trojan TrickBot για να εγκαταστήσουν το δικό τους malware ή μία από τις διαθέσιμες μονάδες TrickBot, ανάλογα με τις λειτουργίες που επιθυμούν να εκτελέσουν σε μολυσμένους ξενιστές.
Σε αναφορές που δημοσιεύθηκαν σήμερα από τους Cybereason και SentinelOne, οι δύο εταιρείες λένε ότι το Anchor είναι μια νέα μονάδα TrickBot που κατασκευάστηκε για μια συγκεκριμένη αγορά, ειδικά για τους hackers που θέλουν να παραμείνουν μη ανιχνευμένοι στα συστήματα που μολύνουν.
Το TrickBot είναι ένα εργαλείο που χρησιμοποιείται σε επιθέσεις που απευθύνονται σε μεγάλες εταιρείες, όπου οι hackers πρέπει να παραμείνουν ανιχνεύσιμοι για εβδομάδες ή μήνες – ενώ κλέβουν στοιχεία – και ακόμη και πολύ καιρό μετά τη λήξη της εισβολής.
H SentinelOne περιγράφει το Anchor ως “ένα πλαίσιο επίθεσης” all-in-one σχεδιασμένο να επιτίθεται σε περιβάλλοντα επιχειρήσεων “. Αποτελείται από διαφορετικούς υπομορφωτές που παρέχουν τα διάφορα χαρακτηριστικά που απαιτούνται για στοχευμένες επιθέσεις, αλλά δεν έχουν καμία χρησιμότητα για τους άλλους πελάτες της TrickBot.
Με μια πρώτη ματιά, το Anchor μοιάζει με ένα εργαλείο που η ομάδα TrickBot αναπτύχθηκε για ομάδες hacker που ενδιαφέρονται για την οικονομική κατασκοπία ή για τους χειριστές των στελεχών malware POS.
H SentinelOne δήλωσε ότι συνδέει τις επιθέσεις που πραγματοποίησε ο όμιλος Lazarus της Βόρειας Κορέας με το TrickBot και το νέο πλαίσιο επίθεσης Anchor.
Στην έκθεση που δημοσίευσε σήμερα, η SentinelOne δήλωσε ότι βρήκε μια περίπτωση όπου ο όμιλος Lazarus φαίνεται να έχει νοικιάσει πρόσβαση σε ένα μολυσμένο σύστημα μέσω του botnet TrickBot και έπειτα χρησιμοποίησε το πλαίσιο Attack Anchor (Module TrickBot) για να εγκαταστήσει στο δίκτυο το PowerRatankba, ένα backdoor PowerShell από μια εταιρεία που έχει χακαριστεί.
Η SentinelOne δεν επεξεργάστηκε τι έκανε ο όμιλος Lazarus στο δίκτυο της επιχείρησης που χάκαρε, αλλά οι βόρειοι κορεάτες hacker είναι γνωστοί για επιθέσεις στον κυβερνοχώρο με οικονομικά κίνητρα. Εντούτοις, οι βόρειοι κορεάτες hacker δεν ήταν οι μόνοι πελάτες του Anchor.
Η Cybereason δεν είδε τον όμιλο Lazarus να χρησιμοποιεί το Anchor, αλλά αντιθέτως είδε “ένα νέο κύμα στοχοθετημένων εκστρατειών κατά των οικονομικών, κατασκευαστικών και λιανικών επιχειρήσεων που άρχισαν στις αρχές Οκτωβρίου” όπου είχε χρησιμοποιηθεί το Anchor.
“Σε αντίθεση με τις αναφερόμενες στο παρελθόν σχετικές επιθέσεις Trickbot που έχουν ως αποτέλεσμα την μαζική ransomware μόλυνση, αυτό το νέο κύμα επιθέσεων επικεντρώνεται στην κλοπή ευαίσθητων πληροφοριών από POS (Point of Sale) συστήματα και άλλους ευαίσθητους πόρους στα δίκτυα των θυμάτων, δίκτυο “, δήλωσε η ομάδα του Cybereason.
“Αυτές οι επιθέσεις υπογραμμίζουν περαιτέρω τον κίνδυνο που ενέχουν οι μολύνσεις από κακόβουλα προϊόντα που μπορεί μερικές φορές να υποτιμηθούν, λόγω της κοινής τους κατάστασης και του μεγάλου όγκου τους”, πρόσθεσαν οι ερευνητές.
“Είναι σημαντικό να θυμόμαστε ότι, όταν ένα endpoint μολυνθεί με κάποιο κακόβουλο λογισμικό, εξαρτάται από την απόφαση των επιτιθέμενων να συνεχίσουν.”
