CostaRicto APT

CostaRicto είναι το όνομα που δόθηκε σε μια ομάδα χάκερ που προφανώς λειτουργεί ως μισθοφόρος και προσφέρει τις υπηρεσίες της προς ενοικίαση. Οι δραστηριότητές της εντοπίστηκαν από τους ειδικούς της infosec στο BlackBerry, οι οποίοι αποκάλυψαν μια εκστρατεία κατασκοπείας ευρείας εμβέλειας. Τέτοιες ομάδες «hackers-for-hire» εμφανίζονται όλο και περισσότερο στον υπόκοσμο του εγκλήματος στον κυβερνοχώρο, καθώς διαθέτουν δυνατότητες και εργαλεία στο ίδιο επίπεδο με τις κρατικές ομάδες Advanced Persistent Threat (APT), αλλά μπορούν να λειτουργούν σε παγκόσμιο επίπεδο σε πολλούς κλάδους σύμφωνα με τις ανάγκες των πελατών τους.

Το CostaRicto χρησιμοποιεί ένα σύνολο εργαλείων εξατομικευμένων απειλών κακόβουλου λογισμικού που είτε δημιουργήθηκαν από τους ίδιους τους χάκερ είτε ανατέθηκαν αποκλειστικά. Στην εκστρατεία κατασκοπείας στον κυβερνοχώρο, οι χάκερ ανέπτυξαν δύο τύπους loader ανάλογα με την αρχιτεκτονική του στοχευόμενου υπολογιστή, ένα μοναδικό είδος κακόβουλου λογισμικού backdoor που ονομάζεται SombRAT, HTTP και reverse-DNS payload stagers, ένα port scanner 'nmap' και PsExec. Για συστήματα 32-bit, οι χάκερ χρησιμοποιούν CostaBricks - έναν προσαρμοσμένο φορτωτή που υλοποιεί έναν μηχανισμό εικονικής μηχανής που εκκινεί έναν bytecode που είναι υπεύθυνος για την περιγραφή, τη φόρτωση στη μνήμη και την εκτέλεση του ωφέλιμου φορτίου κακόβουλου λογισμικού. Εάν ο στόχος χρησιμοποιεί σύστημα 64-bit, το CostaRicto αναπτύσσει έναν διαφορετικό φορτωτή - την ανακλαστική μονάδα έγχυσης PE του PowerSploit.

Η αλυσίδα επίθεσης ξεκινά, πιθανότατα, με τη χρήση συλλεγμένων διαπιστευτηρίων που συγκεντρώθηκαν μέσω phishing ή απλά αγοράζονται στον σκοτεινό Ιστό. Στη συνέχεια, η CostaRicto δημιούργησε το κανάλι επικοινωνίας με την υποδομή Command-and-Control (C&C, C2) της καμπάνιας, η οποία διαχειρίζεται μέσω του δικτύου TOR ή ενός συστήματος proxies. Για επικοινωνία εντός του παραβιασμένου δικτύου, δημιουργείται ένα σύστημα σηράγγων SSH. Ορισμένα ονόματα τομέα που διαπιστώθηκε ότι είναι κωδικοποιημένα στα εργαλεία κακόβουλου λογισμικού του CostaRicto έχουν σχεδιαστεί για να παραπλανούν νόμιμους τομείς - ο κατεστραμμένος τομέας 'sbidb.net' μιμείται τον τομέα της State Bank of India Bangladesh, που είναι "sbidb.com". Ένα περίεργο γεγονός που θα μπορούσε να είναι τυχαίο είναι η επαναχρησιμοποίηση μιας διεύθυνσης IP από την CostaRicto που έχει παρατηρηθεί σε μια εκστρατεία ηλεκτρονικού ψαρέματος που διεξήχθη από άλλη ομάδα χάκερ στο παρελθόν - τον παράγοντα απειλών APT γνωστό ως APT28 .

Όντας μια ομάδα χάκερ που προσφέρουν τις υπηρεσίες τους στον πιο ακριβοπληρωμένο πελάτη, οι δραστηριότητες της CostaRicto μπορούν να εντοπιστούν σε θύματα σε όλο τον κόσμο. Στόχοι έχουν εντοπιστεί στην Κίνα, τις ΗΠΑ, την Αυστραλία, την Αυστρία, την Ολλανδία, τη Σιγκαπούρη, τη Γαλλία, την Ινδία, τη Μοζαμβίκη, τη Σιγκαπούρη και την Πορτογαλία. Το μόνο μοτίβο που θα μπορούσε να υποτεθεί είναι μια ελαφρώς υψηλότερη συγκέντρωση παραβιασμένων μηχανών στην περιοχή της Νότιας Ασίας.