Conform unei analize a echipei globale de cercetare Kaspersky Lab (GReAT – Global Research and Analysis Team), autorii amenințărilor sofisticate sunt implicați în atacarea altor grupări, pentru a fura datele victimelor, a împrumuta instrumente și tehnici și a reutiliza infrastructura – făcând informațiile despre amenințări chiar mai greu de depistat pentru cercetătorii în securitate cibernetică.
Informațiile exacte despre amenințări se bazează pe identificarea unor modele și instrumente specifice unui anumit autor. Asemenea cunoștințe le permit cercetătorilor să identifice mai bine scopurile infractorilor, țintele și comportamentele și să ajute organizațiile să determine nivelul lor de risc. Atunci când autorii încep să se atace unul pe altul și să preia controlul instrumentelor, al infrastructurii și chiar al victimelor, acest model începe să se clatine.
Aceste atacuri sunt, cel mai probabil, realizate de grupuri de atacatori sprijinite la nivel statal, care țintesc entități străine sau mai puțin pregătite. Este important ca cercetătorii din domeniul securității IT să învețe cum să identifice și să interpreteze semnalele acestor atacuri, astfel încât să poată să pună informațiile în context.
Examinând în detaliu aceste atacuri, cercetătorii GReAT au identificat două abordări principale: pasivă și activă. Atacurile pasive implică interceptarea în tranzit a datelor altor grupuri, de exemplu atunci când circulă între victime și serverele de comandă și control. Acestea sunt aproape imposibil de detectat. O abordare activă implică infiltrarea în infrastructura altui autor.
Există un risc mai mare de detecție în cazul abordării active, dar are și avantaje, pentru că îi permite atacatorului să extragă informații în mod constant, să își monitorizeze ținta și victimele, și, eventual, să insereze propriile mostre sau să facă atacuri în numele victimelor. Succesul atacurilor active depinde de o țintă care să facă greșeli de securitate operațională.
Echipa GReAT a identificat o serie de artefacte ieșite din comun, de-a lungul investigării anumitor grupări, ceea ce sugerează faptul că atacurile active sunt deja o realitate.
Exemplele includ:
1. Backdoor-uri instalate în infrastructura de comandă și control a altei entități (C&C)
Instalarea unui backdoor într-o rețea controlată le permite atacatorilor să rămână o perioadă îndelungată inflitrați în interiorul operațiunilor unui alt grup.
2. Publicarea unor site-uri controlate
În 2016, cercetătorii Kaspersky Lab au descoperit că un site compromis de gruparea de limbă coreeană DarkHotel a ”găzduit” și script-uri de exploit-uri pentru alt atacator, denumit ScarCruft, un grup care țintește în special organizații din Rusia, China și Coreea de Sud. Operațiunea DarkHotel datează din aprilie 2016, în timp ce atacurile ScarCruft au fost implementate o lună mai târziu, sugerând că este posibil ca ScarCruft să fi observat atacurile DarkHotel înainte de a-și lansa propriile atacuri.
3. Țintirea prin intermediari
Infiltrarea unui grup cu miză într-o anumită regiune sau sector industrial le permite atacatorilor să reducă costurile și să-și îmbunătățească țintirea, beneficiind de expertiza specializată a victimei.
Unii autori folosesc victime în comun mai degrabă decât să le fure. Această abordare este riscantă dacă unul dintre atacatori nu este suficient de bine pregătit și este prins, pentru că investigația ulterioară a incidentului îi va dezvălui și pe ceilalți atacatori.
Pentru a ține pasul cu amenințările în continuă schimbare, se recomandă implementarea unei platforme de securitate completă și să folosească informații despre amenințări.