Novinky

Threat Research - Intelligence

1.7.2019 JK Bezpečnosť

Predchádzajúci vývoj

Na začiatku mája 2019 spoločnosť Cybersecurity AdvIntel vydala blog [1] o dobre známom ruskom hackerskom kolektíve  Fxmsp, ktorý tvrdí, že úspešne zaútočili na tri hlavné antivírusové spoločnosti so sídlom v Spojených štátoch. Následne po tejto publikácii, Ars Technica [2] a Bleeping Computer [3] poskytli ďalšie aktualizácie o tomto prebiehajúcom prípade.

Prípad

9. mája sa rozšírili príbeh, že Fxmsp, ruský hackingový kolektív, o ktorom je známe, že funguje na deep web fórach, žiadal o 300 000 dolárov za zdrojový kód a prístup do sietí troch hlavných antivírusových spoločností. Yelisey Boguslavskiy, riaditeľ oddelenia IT bezpečnosti spoločnosti AdvIntel, povedal spoločnosti Bleeping Computers "Zdá sa, že zložky obsahujú informácie o vývojovej dokumentácii spoločnosti, modeli umelej inteligencie, webovom bezpečnostnom softvéri a základnom kóde antivírusového softvéru."

11. mája výskumníci z HakDefNet [4] súkromne oznámili, že Symantec, McAfee a TrendMicro boli medzi kompromitovanými a 13. mája spoločnosť Bleeping Computers zverejnila aktualizáciu [5], keď dostala neupravené záznamy z komunikácie od spoločnosti AdvIntel, ktorá spomínala troch výrobcov.

Taktika, Techniky and Procedúry (TTP) Fxmsp boli sledované mnohými spravodajskými firmami od roku 2017. V minulosti boli ich ponuky overené a odskúšané, ale v poslednej dobe sa o skupine vedelo, že robila nekalé obchody, ktoré zahŕňali opätovný predaj predtým predaných aktív. V aktualizácii pre článok spoločnosti Ars Technica, AdvIntel povedal, že Fxmsp sa dostal na temné chodníčky po tom, ako bol  v októbri 2018 kompromitovaný vzťah s ich pre-predajcami [6]. Táto udalosť prinútila skupinu odmlčať sa na fórach a začala komunikovať striktne prostredníctvom Jabberu.

V apríli 2019 sa spoločnosť Fxmsp vrátila a ponúkala prístup do siete hotelového reťazca a zdrojový kódu plus prístupové údaje k spoločnostiam Symantec, McAfee a TrendMicro. Táto správa z blogu spoločnosti AdvIntel vyústila do tlaku na spoločnosti, aby odpovedali oficiálnym vyhlásením. AdvIntel v citácii pre Bleeping Computer povedal: „AdvIntel pracuje priamo so spoločnosťou Symantec na zmiernení tohto rizika. Hoci kolektív Fxmsp tvrdil, že spoločnosť je na zozname obetí, neposkytli dostatočné dôkazy na podporu tohto tvrdenia. “Ide o tvrdenie, ktoré bolo pasívne spomenuté v blogu AdvIntel-u.“

Výskum hrozieb a podávanie správ je náročné, ale z toho čo je o Fxmsp TTP je známe, vieme, že sa zvyčajne zameriavajú na veľké korporácie a predávajú získané dáta prostredníctvom siete pre-predajcov na deep web fórach, a vie sa, že v minulosti pre-predali rovnaký prístup k sieti a údaje viacerým kupcom. Fxmsp TTP zahŕňjú zacielenie protokolu RDP (Remote Desktop Protocol) a služby AD (Active Directory). Tvrdia, že vyvíjajú botnet pre krádeže prihlasovacích údajov. Stručne povedané, ide o ďalší prípad kriminálnej skupiny zameriavajúcej sa na veľké spoločnosti a poskytovateľov služieb, ktorí majú veľkú základňu používateľov. Ukradnuté dáta sa rýchlo predávajú za účelom zisku a nie sú využívané na špionáž, ako je možné vidieť u štátnych aktérov. V súčasnosti nie je možné potvrdiť legitímnosť predávaných údajov, ale táto udalosť objasňuje dôležitosť spravodajských informácií o cieľoch / aktéroch.

 

Firemný pohľad

Target Intelligence je dôležitou súčasťou výskumu kybernetických hrozieb. Tento proces nám umožňuje študovať zložky skupiny, aby sme určili ich zraniteľnosti a relatívny význam v celkovom prostredí hrozieb. To si vyžaduje pozerať sa na minulosť a zapojiť aktérov ohrozenia pomocou utajených ale aj otvorených operácií. Aj keď nie všetky získané informácie budú relevantné alebo presné, umožní vám to vidieť hlbšie a vedieť viac o svojom nepriateľovi.

Otvorené operácie využívajú techniku známu ako Open Source Intelligence alebo OSINT a zahŕňajú proces zhromažďovania údajov z verejne dostupných zdrojov, zatiaľ čo utajené operácie sú skôr skrytej povahy a využívajú techniku nazývanú Human Intelligence alebo HUMINT. To si vyžaduje osobný kontakt a komunikáciu s vašim bodom záujmu.

Napríklad z nedávneho prípadu vieme, že Fxmsp sa dostal na temné chodníčky v októbri 2018, ale môžeme odhaliť aj iných aktérov? S týmito informáciami a niekoľkými nástrojmi OSINT môžeme rýchlo získať náhľad, s kým Fxmsp často komunikuje. Tieto účty zahŕňajú g0rx, Lalartu a Nikoly. Skupinová aktivita a komutácie sa zobrazujú prostredníctvom niekoľkých fór vrátane LAMP a Club2Crd. Na Club2Crd užívateľa Nikolay, zatiaľ čo odpovedal na otázky o príspevku, priznal prepojenie s Fxmsp. Ním proklamované prepojenie bolo rýchlo potvrdené, keď aktivita užívateľa klesla aj v októbri 2018 spolu s odmlčaním sa skupiny.

Aj keď tento prípad neposkytol v tomto okamihu informácie, na základe ktorých by sa dalo konať, začíname vedieť viac o prostredí, kde útočníci pôsobia a kto je súčasťou tejto skupiny, ktorá tvrdí, že sa zameriavala na významných dodávateľov antivírusových programov. Aj keď sa tvrdenie ukáže ako nepravdivé, stále získavame prehľad o relatívnom význame skupiny za pomoci cieleného spravodajstva.

Rada

Ak si má čitateľ odniesť niečo z prípadu Fxmsp, je to opatrnosť a trpezlivosť, keď hackeri tvrdia, že kompromitovali vašu sieť. Overte si informácie a využite siete na zdieľanie hrozieb. Títo zločinci urobia čokoľvek a podvedú kohokoľvek, aby upozornili na svoj predaj informácií v nádeji, že to priláka kupujúceho.

Ste pod útokom a potrebujete rýchlu pomoc? Radware môže pomôcť.

Radware ponúka službu, ktorá pomáha reagovať na núdzové situácie v oblasti bezpečnosti, neutralizovať riziká a lepšie chrániť prevádzku pred tým ako nastanú nenapraviteľné škody. Ak ste pod útokom DDoS alebo škodlivého softvéru a potrebujete núdzovú pomoc, kontaktujte nás pomocou kódu "Red Button.[7]

Zistite viac na DDoS Warriors

Ak sa chcete dozvedieť viac o dnešných útokoch, pochopiť business dôsledky kybernetických útokov alebo sa naučiť o nových vychádzajúcich typoch útokov a nástrojoch, navštívte stránku DDoSWarriors.com, vytvorená tímom Radware Emergency Response Team (ERT) [8].  Je to vynikajúci zdroj pre všetko, čo profesionáli v oblasti bezpečnosti potrebujú vedieť o útokoch DDoS a kybernetickej bezpečnosti.

Komentáre