CostaRicto APT

CostaRicto je ime dano hakerskoj grupi koja očito djeluje kao plaćenik i nudi svoje usluge za najam. Njegove aktivnosti otkrili su stručnjaci za infosec u BlackBerryju, koji su otkrili široku špijunsku kampanju. Takve grupe 'hakera za unajmljivanje' sve se više pojavljuju u podzemlju kibernetičkog kriminala jer posjeduju sposobnosti i alate u rangu s grupama za naprednu trajnu prijetnju (APT) koje sponzorira država, ali mogu djelovati na svjetskoj razini u više sektora industrije u skladu s potrebama svojih klijenata.

CostaRicto koristi skup alata prilagođenih prijetnji zlonamjernog softvera koje su ili stvorili sami hakeri ili su ih naručili isključivo. U kampanji kibernetičke špijunaže, hakeri su implementirali dvije vrste učitavača ovisno o arhitekturi ciljanog računala, jedinstvenu vrstu backdoor zlonamjernog softvera zvanog SombRAT, HTTP i reverse-DNS payload stagers, skener portova 'nmap' i PsExec. Za 32-bitne sustave, hakeri koriste CostaBricks - prilagođeni učitavač koji implementira mehanizam virtualnog stroja koji pokreće bajt kod odgovoran za opis, učitavanje u memoriju i izvršenje korisnog opterećenja zlonamjernog softvera. Ako cilj koristi 64-bitni sustav, CostaRicto postavlja drugi loader - PowerSploitov reflektirajući PE modul za ubrizgavanje.

Lanac napada počinje, najvjerojatnije, korištenjem prikupljenih vjerodajnica prikupljenih putem phishinga ili jednostavno kupljenih na mračnom webu. Zatim je CostaRicto postavio komunikacijski kanal s infrastrukturom zapovijedanja i upravljanja (C&C, C2) kampanje, kojom se upravlja putem TOR mreže ili proxy sustava. Za komunikaciju unutar ugrožene mreže kreira se sustav SSH tunela. Određeni nazivi domena za koje je utvrđeno da su tvrdo kodirani u alatima zlonamjernog softvera CostaRictoa dizajnirani su za lažiranje legitimnih domena - oštećena domena 'sbidb.net' oponaša domenu Državne banke Indije Bangladeš, a to je 'sbidb.com'. Zanimljiva činjenica koja bi mogla biti slučajna je CostaRictoova ponovna upotreba IP adrese koja je uočena u kampanji krađe identiteta koju je prethodno provela druga hakerska grupa - akter prijetnje APT-om poznat kao APT28 .

Budući da je skupina hakera koja nudi svoje usluge klijentima koji najviše plaćaju, CostaRictoove operacije mogu se pratiti do žrtava diljem svijeta. Ciljevi su identificirani u Kini, SAD-u, Australiji, Austriji, Nizozemskoj, Singapuru, Francuskoj, Indiji, Mozambiku, Singapuru i Portugalu. Jedini obrazac koji se može pretpostaviti je nešto veća koncentracija kompromitiranih strojeva u južnoazijskoj regiji.