Отчет Microsoft по цифровой защите предлагает новый взгляд на растущую тенденцию, которая стирает границы между кибершпионажем и киберпреступной деятельностью.
Спонсируемые государством субъекты угроз не чужды операциям под ложным флагом, выдавая себя за киберпреступные группировки или полагаясь на них, чтобы скрыть свои настоящие цели. Однако границы между киберпреступностью и кибершпионажем становятся все более размытыми, а число таких случаев растет.
В своем отчете о цифровой обороне за 2024 год компания Microsoft недавно заявила, что «зафиксировала, что субъекты угроз на уровне государств проводят операции с целью получения финансовой выгоды, привлекают киберпреступников для сбора разведданных об украинских вооруженных силах и используют те же средства кражи информации, системы управления и контроля и другие инструменты, которые предпочитает киберпреступное сообщество».
Таким образом, руководители служб информационной безопасности должны осознавать, что активность в их сетях и системах, которая на первый взгляд кажется типичной для намерений киберпреступников, может скрывать другие мотивы злоумышленников, оснащенных дополнительными инструментами, тактиками, методами и процедурами.
Ниже представлен обзор этой растущей тенденции, которая сочетает в себе кибершпионаж с киберпреступной деятельностью и ее элементами.
В 2023 году представитель Белого дома заявил, что до половины ракетной программы Северной Кореи финансировалось за счет кражи криптовалюты и других кибератак. Между тем, ООН в своем отчете подсчитала, что северокорейские хакеры украли более 3 миллиардов долларов в криптовалюте с 2017 по 2023 год.
В этом году новый северокорейский злоумышленник, отслеживаемый Microsoft как Moonstone Sleet, разработал и применил вирус-вымогатель против организаций из аэрокосмического и оборонного сектора. Таким образом, хакерам удалось достичь двух целей одновременно: сбора разведданных путем извлечения конфиденциальной информации из высокоценных целей и монетизации с помощью вируса-вымогателя.
Еще одна страна под санкциями, которая начала заниматься финансово мотивированными атаками в этом году, — Иран. Хотя хакерские команды этой страны, связанные с государством, и раньше применяли фальшивые программы-вымогатели, это делалось как ложный флаг, чтобы скрыть разрушительную цель, и на самом деле не давало шанса на расшифровку.
Ранее в этом году группа, известная как Cotton Sandstorm, которая является частью военного крыла Корпуса стражей исламской революции (КСИР) Ирана и которая была отмечена за участие в кампаниях по оказанию влияния на выборы 2024 года, использовала две персоны для продажи данных, украденных с израильского сайта знакомств, и предлагала удалить профили из базы данных за определенную плату.
«Не было выявлено никаких явных признаков использования этой уязвимости киберпреступниками, что позволяет предположить, что группа действовала в поддержку целей российского правительства», — говорится в отчете Microsoft.
Еще более очевидный случай аутсорсинга кибершпионажа наблюдался в июле 2023 года, когда известная APT-группа, приписываемая Федеральной службе безопасности (ФСБ) России, передала доступ к 34 взломанным украинским устройствам киберпреступной группировке, известной как Storm-0593 или Invisimole.
По данным Microsoft, APT-атака Aqua Blizzard выполнила скрипт PowerShell, который загрузил вредоносное ПО с известного сервера управления, контролируемого Storm-0593, а затем развернула маяки Cobalt Strike.
Маяки — это бэкдор-импланты из коммерческой среды тестирования на проникновение Cobalt Strike, которую используют многие киберпреступники. В этом конкретном случае маяк был настроен на подключение к домену, который Storm-0593 зарегистрировал и использовал в фишинговых кампаниях против украинских военных организаций.
Это указывает на то, что Storm-0593 неоднократно поддерживал государственные цели кибершпионажа, но это не первый случай, когда российские спецслужбы привлекают киберпреступников. В 2017 году Министерство юстиции США предъявило обвинение двум сотрудникам ФСБ в найме известного хакера-преступника для взлома сети Yahoo.
В прошлом месяце США предъявили обвинения пяти офицерам российской военной разведки ГРУ вместе с гражданским сообщником за их роль в запуске разрушительных атак по стиранию данных против украинских правительственных организаций перед вторжением в страну. Эти атаки, известные под общим названием WhisperGate, использовали поддельную программу-вымогатель, которая повреждала файлы и не давала компьютерам загружаться.
ФБР отметило, что в отличие от других более известных групп кибершпионажа ГРУ, таких как Fancy Bear или Pawnstorm, подразделение, стоящее за атакой, отдает предпочтение инструментам с открытым исходным кодом и коммерческим инструментам и сотрудничает с киберпреступниками на форумах даркнета.
«Secret Blizzard, связанная с ФСБ, и Seashell Blizzard, связанная с ГРУ, получают доступ к максимально возможному количеству устройств, прежде чем преследовать интересующие их устройства», — написала Microsoft в своем отчете. «Secret Blizzard сделала это, используя сторонние заражения, такие как многоцелевые боты Amadey, для загрузки специального разведывательного инструмента, который помогает операторам решать, следует ли развертывать свой бэкдор первой стадии. Seashell Blizzard предлагает вредоносные пиратские версии программного обеспечения Microsoft на торрентах, часто продвигая их на украинских файлообменных сайтах, чтобы закрепиться в сетях».
У России долгая история операций под ложным флагом в киберпространстве, когда ее государственные хакерские команды использовали вредоносное ПО, чтобы сбить следователей с толку. Подобно WhisperGate, еще одна атака с использованием фальшивого вымогателя под названием NotPetya была запущена в 2017 году Sandworm для повреждения файловых систем на украинских компьютерах, но в конечном итоге повлияла на многонациональные компании, поскольку имела самораспространяющийся компонент.
Во время Олимпийских игр 2018 года в Южной Корее Россия начала атаку на ИТ-инфраструктуру, поддерживающую мероприятие, с помощью вредоносного ПО для стирания данных, которое получило название Olympic Destroyer. Вредоносное ПО скопировало код из более ранних стирателей данных, которые использовала Северная Корея, чтобы переложить вину на очевидного подозреваемого.
Китайские разведывательные службы также имеют опыт работы с гражданскими хакерами APT41, также известная как Winnti, Axiom, Barium или Wicked Panda, является одной из старейших китайских групп кибершпионажа, ее деятельность по вторжению началась еще в 2007 году. Долгое время эта группа действовала из подставной компании под названием Chengdu 404 Network Technology Company, которая, по мнению экспертов по безопасности, выступала в качестве подрядчика Министерства государственной безопасности Китая и Народно-освободительной армии.
Хотя нападения группы часто следуют геополитическим и разведывательным интересам Китая, она также несет ответственность за финансово мотивированные атаки, в первую очередь против индустрии онлайн-игр. Несколько граждан Китая, подозреваемых в членстве в APT41, были обвинены в США в 2019 и 2020 годах и находятся в списке самых разыскиваемых ФБР.
Между тем, после того, как разразился конфликт между Израилем и ХАМАС, иранские государственные деятели создали две персоны под названием «Слезы войны» и «Хамса1948», чтобы выдавать себя за активистов, требующих отстранения премьер-министра Израиля от должности из-за ситуации с заложниками, или поощрять арабов-израильтян к яростному противостоянию израильским властям. Третья персона под названием «КарМа», которая требовала отстранения Нетаньяху, была связана с подразделением Министерства разведки и безопасности Ирана.
В России группы хактивистов, потенциально связанные с правительством, такие как «Киберармия России», взяли на себя ответственность за атаки, направленные на запугивание стран, поддерживающих Украину, включая атаки на объекты критической инфраструктуры. В июле Министерство финансов и Госдепартамент США включили двух членов этой группы в санкционный список.
«В прошлом году субъекты угроз, связанные с национальными государствами, в очередной раз продемонстрировали, что кибероперации — будь то шпионаж, разрушение или влияние — играют постоянную вспомогательную роль в более широких геополитических конфликтах», — говорится в отчете Microsoft. «В войнах в Европе и на Ближнем Востоке Россия и Иран сосредоточили свою деятельность по угрозам на своих главных противниках в этих боях, Украине и Израиле соответственно. Между тем, долгосрочное внимание Пекина к контролю над Тайванем привело к высокому уровню нацеливания на тайваньские предприятия со стороны китайских субъектов угроз, которые также проникали в страны вокруг Южно-Китайского моря, чтобы собирать информацию о военных учениях и национальной политике».
Источник
Спонсируемые государством субъекты угроз не чужды операциям под ложным флагом, выдавая себя за киберпреступные группировки или полагаясь на них, чтобы скрыть свои настоящие цели. Однако границы между киберпреступностью и кибершпионажем становятся все более размытыми, а число таких случаев растет.
В своем отчете о цифровой обороне за 2024 год компания Microsoft недавно заявила, что «зафиксировала, что субъекты угроз на уровне государств проводят операции с целью получения финансовой выгоды, привлекают киберпреступников для сбора разведданных об украинских вооруженных силах и используют те же средства кражи информации, системы управления и контроля и другие инструменты, которые предпочитает киберпреступное сообщество».
Таким образом, руководители служб информационной безопасности должны осознавать, что активность в их сетях и системах, которая на первый взгляд кажется типичной для намерений киберпреступников, может скрывать другие мотивы злоумышленников, оснащенных дополнительными инструментами, тактиками, методами и процедурами.
Ниже представлен обзор этой растущей тенденции, которая сочетает в себе кибершпионаж с киберпреступной деятельностью и ее элементами.
Кража денег для санкционированных правительств
Одной из стран, которая имеет долгую историю участия в финансово мотивированных кибероперациях наряду со шпионажем и саботажем, является Северная Корея, в первую очередь из-за длительных экономических санкций. Государственные хакерские команды страны, такие как Lazarus Group, в прошлом взломали центральные банки, чтобы украсть большие суммы денег, и с тех пор перешли к атакам на криптовалютные организации и пользователей.В 2023 году представитель Белого дома заявил, что до половины ракетной программы Северной Кореи финансировалось за счет кражи криптовалюты и других кибератак. Между тем, ООН в своем отчете подсчитала, что северокорейские хакеры украли более 3 миллиардов долларов в криптовалюте с 2017 по 2023 год.
В этом году новый северокорейский злоумышленник, отслеживаемый Microsoft как Moonstone Sleet, разработал и применил вирус-вымогатель против организаций из аэрокосмического и оборонного сектора. Таким образом, хакерам удалось достичь двух целей одновременно: сбора разведданных путем извлечения конфиденциальной информации из высокоценных целей и монетизации с помощью вируса-вымогателя.
Еще одна страна под санкциями, которая начала заниматься финансово мотивированными атаками в этом году, — Иран. Хотя хакерские команды этой страны, связанные с государством, и раньше применяли фальшивые программы-вымогатели, это делалось как ложный флаг, чтобы скрыть разрушительную цель, и на самом деле не давало шанса на расшифровку.
Ранее в этом году группа, известная как Cotton Sandstorm, которая является частью военного крыла Корпуса стражей исламской революции (КСИР) Ирана и которая была отмечена за участие в кампаниях по оказанию влияния на выборы 2024 года, использовала две персоны для продажи данных, украденных с израильского сайта знакомств, и предлагала удалить профили из базы данных за определенную плату.
Наем киберпреступников для правдоподобного отрицания
Тем временем Россия усилила свое сотрудничество с киберпреступными элементами после вторжения на Украину, передав на аутсорсинг некоторые из своих операций по кибершпионажу, нацеленных на страну. По данным Microsoft, киберпреступная группа, отслеживаемая как Storm-2049 или UAC-0184, использовала вредоносное ПО Xworm и Remcos RAT для заражения 50 украинских военных устройств.«Не было выявлено никаких явных признаков использования этой уязвимости киберпреступниками, что позволяет предположить, что группа действовала в поддержку целей российского правительства», — говорится в отчете Microsoft.
Еще более очевидный случай аутсорсинга кибершпионажа наблюдался в июле 2023 года, когда известная APT-группа, приписываемая Федеральной службе безопасности (ФСБ) России, передала доступ к 34 взломанным украинским устройствам киберпреступной группировке, известной как Storm-0593 или Invisimole.
По данным Microsoft, APT-атака Aqua Blizzard выполнила скрипт PowerShell, который загрузил вредоносное ПО с известного сервера управления, контролируемого Storm-0593, а затем развернула маяки Cobalt Strike.
Маяки — это бэкдор-импланты из коммерческой среды тестирования на проникновение Cobalt Strike, которую используют многие киберпреступники. В этом конкретном случае маяк был настроен на подключение к домену, который Storm-0593 зарегистрировал и использовал в фишинговых кампаниях против украинских военных организаций.
Это указывает на то, что Storm-0593 неоднократно поддерживал государственные цели кибершпионажа, но это не первый случай, когда российские спецслужбы привлекают киберпреступников. В 2017 году Министерство юстиции США предъявило обвинение двум сотрудникам ФСБ в найме известного хакера-преступника для взлома сети Yahoo.
В прошлом месяце США предъявили обвинения пяти офицерам российской военной разведки ГРУ вместе с гражданским сообщником за их роль в запуске разрушительных атак по стиранию данных против украинских правительственных организаций перед вторжением в страну. Эти атаки, известные под общим названием WhisperGate, использовали поддельную программу-вымогатель, которая повреждала файлы и не давала компьютерам загружаться.
ФБР отметило, что в отличие от других более известных групп кибершпионажа ГРУ, таких как Fancy Bear или Pawnstorm, подразделение, стоящее за атакой, отдает предпочтение инструментам с открытым исходным кодом и коммерческим инструментам и сотрудничает с киберпреступниками на форумах даркнета.
Использование вредоносного ПО и киберпреступной инфраструктуры
По данным Microsoft, государственные служащие все чаще используют инструменты и методы киберпреступников для получения доступа к своим целям.«Secret Blizzard, связанная с ФСБ, и Seashell Blizzard, связанная с ГРУ, получают доступ к максимально возможному количеству устройств, прежде чем преследовать интересующие их устройства», — написала Microsoft в своем отчете. «Secret Blizzard сделала это, используя сторонние заражения, такие как многоцелевые боты Amadey, для загрузки специального разведывательного инструмента, который помогает операторам решать, следует ли развертывать свой бэкдор первой стадии. Seashell Blizzard предлагает вредоносные пиратские версии программного обеспечения Microsoft на торрентах, часто продвигая их на украинских файлообменных сайтах, чтобы закрепиться в сетях».
У России долгая история операций под ложным флагом в киберпространстве, когда ее государственные хакерские команды использовали вредоносное ПО, чтобы сбить следователей с толку. Подобно WhisperGate, еще одна атака с использованием фальшивого вымогателя под названием NotPetya была запущена в 2017 году Sandworm для повреждения файловых систем на украинских компьютерах, но в конечном итоге повлияла на многонациональные компании, поскольку имела самораспространяющийся компонент.
Во время Олимпийских игр 2018 года в Южной Корее Россия начала атаку на ИТ-инфраструктуру, поддерживающую мероприятие, с помощью вредоносного ПО для стирания данных, которое получило название Olympic Destroyer. Вредоносное ПО скопировало код из более ранних стирателей данных, которые использовала Северная Корея, чтобы переложить вину на очевидного подозреваемого.
Китайские разведывательные службы также имеют опыт работы с гражданскими хакерами APT41, также известная как Winnti, Axiom, Barium или Wicked Panda, является одной из старейших китайских групп кибершпионажа, ее деятельность по вторжению началась еще в 2007 году. Долгое время эта группа действовала из подставной компании под названием Chengdu 404 Network Technology Company, которая, по мнению экспертов по безопасности, выступала в качестве подрядчика Министерства государственной безопасности Китая и Народно-освободительной армии.
Хотя нападения группы часто следуют геополитическим и разведывательным интересам Китая, она также несет ответственность за финансово мотивированные атаки, в первую очередь против индустрии онлайн-игр. Несколько граждан Китая, подозреваемых в членстве в APT41, были обвинены в США в 2019 и 2020 годах и находятся в списке самых разыскиваемых ФБР.
Выдавая себя за хактивистов
Государственные субъекты также все чаще скрывают свою деятельность, включая кампании влияния, за вымышленными персонами и группами хактивистов. Одним из примеров является группа под названием CyberAv3ngers, которая испортила контроллер водоснабжения в Пенсильвании, поскольку устройство было произведено в Израиле. По данным Microsoft, персона CyberAv3ngers на самом деле была создана подразделением КСИР, известным как Shahid Kaveh Group. (Эксперты рассматривают недавние атаки на систему водоснабжения, совершенные хактивистами, связанными с российским государством, как потенциальные испытательные полигоны для привлечения внимания и благосклонности государственных субъектов).Между тем, после того, как разразился конфликт между Израилем и ХАМАС, иранские государственные деятели создали две персоны под названием «Слезы войны» и «Хамса1948», чтобы выдавать себя за активистов, требующих отстранения премьер-министра Израиля от должности из-за ситуации с заложниками, или поощрять арабов-израильтян к яростному противостоянию израильским властям. Третья персона под названием «КарМа», которая требовала отстранения Нетаньяху, была связана с подразделением Министерства разведки и безопасности Ирана.
В России группы хактивистов, потенциально связанные с правительством, такие как «Киберармия России», взяли на себя ответственность за атаки, направленные на запугивание стран, поддерживающих Украину, включая атаки на объекты критической инфраструктуры. В июле Министерство финансов и Госдепартамент США включили двух членов этой группы в санкционный список.
«В прошлом году субъекты угроз, связанные с национальными государствами, в очередной раз продемонстрировали, что кибероперации — будь то шпионаж, разрушение или влияние — играют постоянную вспомогательную роль в более широких геополитических конфликтах», — говорится в отчете Microsoft. «В войнах в Европе и на Ближнем Востоке Россия и Иран сосредоточили свою деятельность по угрозам на своих главных противниках в этих боях, Украине и Израиле соответственно. Между тем, долгосрочное внимание Пекина к контролю над Тайванем привело к высокому уровню нацеливания на тайваньские предприятия со стороны китайских субъектов угроз, которые также проникали в страны вокруг Южно-Китайского моря, чтобы собирать информацию о военных учениях и национальной политике».
Источник