CostaRicto APT

CostaRicto הוא השם שניתן לקבוצת האקרים שכנראה פועלת כשכירת חרב ומציעה את שירותיה להשכרה. פעילותה זוהתה על ידי מומחי ה-infosec ב-BlackBerry, שחשפו מסע ריגול רחב טווח. קבוצות מסוג "האקרים להשכרה" מופיעות יותר ויותר בעולם התחתון של פשעי הסייבר, שכן יש להן יכולות וכלים בשוויון לקבוצות Advanced Persistent Threat (APT) בחסות המדינה, אך יכולות לפעול ברמה כלל עולמית על פני מגזרי תעשייה מרובים בהתאם לצרכי לקוחותיהם.

CostaRicto מעסיקה ערכת כלים של איומי תוכנות זדוניות מותאמות אישית שנוצרו על ידי ההאקרים עצמם או שהוזמנו באופן בלעדי. במסע הפרסום של ריגול סייבר, ההאקרים פרסו שני סוגי מטעין בהתאם לארכיטקטורת המחשב הממוקד, זן ייחודי של תוכנות זדוניות בדלת אחורית בשם SombRAT, HTTP ו-DNS הפוך, סורק יציאות 'nmap' ו-PsExec. עבור מערכות 32 סיביות, ההאקרים משתמשים ב-CostaBricks - מטעין מותאם אישית שמיישם מנגנון של מכונה וירטואלית שמתניע קוד בייט האחראי על התיאור, הטעינה לזיכרון וביצוע מטען התוכנה הזדונית. אם המטרה משתמשת במערכת של 64 סיביות, CostaRicto פורסת מטעין אחר - מודול הזרקת PE המשקף של PowerSploit.

שרשרת ההתקפה מתחילה, ככל הנראה, בשימוש באישורים שנאספו באמצעות דיוג או פשוט נקנו ברשת האפלה. לאחר מכן, CostaRicto הקימה את ערוץ התקשורת עם תשתית ה-Command-and-Control (C&C, C2) של הקמפיין, המנוהלת דרך רשת TOR או מערכת פרוקסי. לתקשורת בתוך הרשת שנפגעה, נוצרת מערכת של מנהרות SSH. שמות דומיינים מסוימים שנמצאו מקודדים בכלי תוכנה זדוניות של CostaRicto נועדו לזייף דומיינים לגיטימיים - הדומיין הפגום 'sbidb.net' מחקה את הדומיין של הבנק המדינתי של הודו בנגלדש, שהוא 'sbidb.com'. עובדה מוזרה שיכולה להיות מקרית היא השימוש החוזר של CostaRicto בכתובת IP שנצפתה במסע התחזות שנערך על ידי קבוצת האקרים אחרת בעבר - שחקן האיום של APT הידוע בשם APT28 .

בהיותה קבוצה של האקרים המציעים את שירותיהם ללקוח המשולם ביותר, ניתן לאתר את הפעולות של CostaRicto לקורבנות בכל רחבי העולם. יעדים זוהו בסין, ארה"ב, אוסטרליה, אוסטריה, הולנד, סינגפור, צרפת, הודו, מוזמביק, סינגפור ופורטוגל. הדפוס היחיד שניתן לשער הוא ריכוז מעט גבוה יותר של מכונות שנפגעו באזור דרום אסיה.