CostaRicto APT

CostaRicto ialah nama yang diberikan kepada kumpulan penggodam yang nampaknya beroperasi sebagai tentera upahan dan menawarkan perkhidmatan mereka untuk disewa. Aktivitinya telah dikesan oleh pakar infosec di BlackBerry, yang mendedahkan kempen pengintipan yang meluas. Kumpulan 'penggodam untuk disewa' sedemikian semakin muncul dalam dunia jenayah siber kerana mereka memiliki keupayaan dan alatan yang setanding dengan kumpulan Ancaman Berterusan Lanjutan (APT) tajaan kerajaan tetapi boleh beroperasi di peringkat seluruh dunia merentas pelbagai sektor industri sesuai dengan keperluan pelanggan mereka.

CostaRicto menggunakan set alat ancaman perisian hasad tersuai yang sama ada dicipta oleh penggodam sendiri atau ditugaskan secara eksklusif. Dalam kempen pengintipan siber, penggodam menggunakan dua jenis pemuat bergantung pada seni bina komputer yang disasarkan, jenis perisian hasad pintu belakang unik yang dipanggil SombRAT, HTTP dan peperingkat muatan balik DNS, pengimbas port 'nmap' dan PsExec. Untuk sistem 32-bit, penggodam menggunakan CostaBricks - pemuat tersuai yang melaksanakan mekanisme mesin maya yang memulakan kod bait yang bertanggungjawab untuk penerangan, memuatkan ke dalam memori dan melaksanakan muatan perisian hasad. Jika sasaran menggunakan sistem 64-bit, CostaRicto menggunakan pemuat yang berbeza - modul suntikan PE reflektif PowerSploit.

Rantaian serangan bermula dengan, kemungkinan besar, penggunaan bukti kelayakan yang dikumpul yang dikumpulkan melalui pancingan data atau hanya dibeli di Web gelap. Kemudian, CostaRicto menyediakan saluran komunikasi dengan infrastruktur Command-and-Control (C&C, C2) kempen, yang diuruskan melalui rangkaian TOR atau sistem proksi. Untuk komunikasi dalam rangkaian yang terjejas, sistem terowong SSH dicipta. Nama domain tertentu yang didapati dikodkan keras ke dalam alat perisian hasad CostaRicto direka untuk menipu domain yang sah - domain 'sbidb.net' yang rosak meniru domain State Bank of India Bangladesh, iaitu 'sbidb.com.' Fakta aneh yang mungkin tidak disengajakan ialah penggunaan semula alamat IP oleh CostaRicto yang telah diperhatikan dalam kempen pancingan data yang dijalankan oleh kumpulan penggodam lain sebelum ini - pelakon ancaman APT yang dikenali sebagai APT28 .

Sebagai kumpulan penggodam yang menawarkan perkhidmatan mereka kepada pelanggan yang membayar tertinggi, operasi CostaRicto boleh dikesan kepada mangsa di seluruh dunia. Sasaran telah dikenal pasti di China, AS, Australia, Austria, Belanda, Singapura, Perancis, India, Mozambique, Singapura dan Portugal. Satu-satunya corak yang boleh disangkakan ialah kepekatan mesin terjejas yang lebih tinggi sedikit di rantau Asia Selatan.