CostaRicto APT
CostaRicto on nimi hakkeriryhmälle, joka ilmeisesti toimii palkkasoturina ja tarjoaa palvelujaan vuokralle. Sen toiminnan havaitsivat BlackBerryn infosec-asiantuntijat, jotka paljastivat laajan vakoilukampanjan. Tällaisia "vuokraavien" ryhmiä ilmaantuu yhä enemmän tietoverkkorikollisuuden alamaailmaan, koska niillä on valmiuksia ja työkaluja, jotka ovat yhtäläisiä valtion tukemien Advanced Persistent Threat (APT) -ryhmien kanssa, mutta ne voivat toimia maailmanlaajuisesti useilla teollisuuden aloilla. asiakkaidensa tarpeiden mukaisesti.
CostaRicto käyttää työkaluja räätälöityjä haittaohjelmauhkia, jotka ovat joko hakkereiden itsensä luomia tai jotka on tilattu yksinomaan. Kybervakoilukampanjassa hakkerit käyttivät kahta lataustyyppiä kohteena olevan tietokoneen arkkitehtuurista riippuen, ainutlaatuisen takaoven haittaohjelmien SombRAT-, HTTP- ja käänteis-DNS-hyötykuorma-vaiheet, porttiskannerin "nmap" ja PsExec. 32-bittisissä järjestelmissä hakkerit käyttävät CostaBricksia - mukautettua latausohjelmaa, joka toteuttaa virtuaalikoneen mekanismin, joka käynnistää tavukoodin, joka vastaa haittaohjelmien kuvauksesta, lataamisesta muistiin ja suorittamisesta. Jos kohde käyttää 64-bittistä järjestelmää, CostaRicto ottaa käyttöön toisen latausohjelman - PowerSploitin heijastavan PE-injektiomoduulin.
Hyökkäysketju alkaa todennäköisimmin tietojenkalastelulla kerättyjen tai yksinkertaisesti pimeästä Webistä ostettujen tunnistetietojen käyttämisestä. Sitten CostaRicto määritti viestintäkanavan kampanjan Command-and-Control (C&C, C2) -infrastruktuurin kanssa, jota hallitaan TOR-verkon tai välityspalvelinjärjestelmän kautta. Tietoliikennettä varten vaarantuneen verkon sisällä luodaan SSH-tunnelijärjestelmä. Tietyt CostaRicton haittaohjelmatyökaluihin koodatut verkkotunnukset on suunniteltu huijaamaan laillisia verkkotunnuksia – vioittunut sbidb.net-verkkotunnus jäljittelee Bangladeshin valtionpankin verkkotunnusta, joka on sbidb.com. Erikoinen tosiasia, joka voi olla vahingossa, on CostaRicton IP-osoitteen uudelleenkäyttö, joka on havaittu toisen hakkeriryhmän aiemmin – APT28:na tunnetun APT-uhkatoimijan – suorittamassa tietojenkalastelukampanjassa .
CostaRicton toiminta on jäljitettävissä uhreille kaikkialla maailmassa, koska se on ryhmä hakkereita, jotka tarjoavat palvelujaan eniten maksavalle asiakkaalle. Kohteita on tunnistettu Kiinassa, Yhdysvalloissa, Australiassa, Itävallassa, Alankomaissa, Singaporessa, Ranskassa, Intiassa, Mosambikissa, Singaporessa ja Portugalissa. Ainoa malli, joka voidaan olettaa, on hieman suurempi vaarantuneiden koneiden pitoisuus Etelä-Aasian alueella.
