CostaRicto APT
CostaRicto on nimi, mis on antud häkkerirühmale, mis ilmselt tegutseb palgasõdurina ja pakub oma teenuseid rendile. Selle tegevuse tuvastasid BlackBerry infoseci eksperdid, kes paljastasid laiaulatusliku spionaažikampaania. Selliseid palgatud häkkerite rühmitusi ilmub küberkuritegevuse allilmas üha enam, kuna neil on võimalused ja tööriistad, mis on võrdväärsed riiklikult toetatavate arenenud püsivate ohtude (APT) rühmadega, kuid nad võivad tegutseda ülemaailmsel tasandil mitmes tööstusharus. vastavalt oma klientide vajadustele.
CostaRicto kasutab spetsiaalselt loodud pahavaraohtude tööriistakomplekti, mille lõid kas häkkerid ise või telliti eranditult. Küberspionaažikampaanias kasutasid häkkerid olenevalt sihitud arvuti arhitektuurist kahte tüüpi laadurit – unikaalset tagaukse pahavara tüve, mida nimetatakse SombRAT-iks, HTTP-ks ja pöörd-DNS-i kasuliku koormuse etapiks, pordiskanneri „nmap” ja PsExec. 32-bitiste süsteemide jaoks kasutavad häkkerid CostaBricksi – kohandatud laadijat, mis rakendab virtuaalmasina mehhanismi, mis käivitab baitkoodi, mis vastutab pahavara kasuliku koormuse kirjeldamise, mällu laadimise ja täitmise eest. Kui sihtmärk kasutab 64-bitist süsteemi, juurutab CostaRicto teistsuguse laadija – PowerSploiti peegeldava PE-sissepritsemooduli.
Rünnaku ahel algab suure tõenäosusega andmepüügi kaudu kogutud või lihtsalt tumedast veebist ostetud mandaatide kasutamisest. Seejärel seadistas CostaRicto sidekanali kampaania Command-and-Control (C&C, C2) infrastruktuuriga, mida hallatakse TOR-võrgu või puhverserveri süsteemi kaudu. Ohustatud võrgus suhtlemiseks luuakse SSH-tunnelite süsteem. Teatud domeeninimed, mis on CostaRicto pahavara tööriistadesse kõvasti kodeeritud, on loodud seaduslike domeenide võltsimiseks – rikutud domeen sbidb.net jäljendab India Bangladeshi osariigi panga domeeni, mille nimi on sbidb.com. Kummaline fakt, mis võib olla juhuslik, on CostaRicto IP-aadressi taaskasutamine, mida on täheldatud andmepüügikampaanias, mille on varem läbi viinud teine häkkerirühmitus – APT ohutegija, tuntud kui APT28.
Kuna CostaRicto on häkkerite rühm, kes pakub oma teenuseid kõige kõrgemalt tasustavale kliendile, on CostaRicto tegevust võimalik jälgida ohvriteni üle kogu maailma. Sihtmärgid on tuvastatud Hiinas, USA-s, Austraalias, Austrias, Hollandis, Singapuris, Prantsusmaal, Indias, Mosambiigis, Singapuris ja Portugalis. Ainus muster, mida võiks oletada, on pisut suurem ohustatud masinate kontsentratsioon Lõuna-Aasia piirkonnas.
