CostaRicto APT

CostaRicto to nazwa nadana grupie hakerów, która najwyraźniej działa jako najemnicy i oferuje swoje usługi do wynajęcia. Jego działania zostały wykryte przez ekspertów infosec z BlackBerry, którzy odkryli szeroko zakrojoną kampanię szpiegowską. Takie grupy „hakerów do wynajęcia" coraz częściej pojawiają się w podziemiu cyberprzestępczości, ponieważ dysponują możliwościami i narzędziami na równi ze sponsorowanymi przez państwo grupami APT (Advanced Persistent Threat), ale mogą działać na całym świecie w wielu sektorach przemysłu zgodnie z potrzebami swoich klientów.

CostaRicto wykorzystuje zestaw narzędzi tworzonych na zamówienie złośliwego oprogramowania, które zostały stworzone przez samych hakerów lub zostały zlecone na wyłączność. W kampanii cyberszpiegowskiej hakerzy wdrożyli dwa typy programów ładujących w zależności od architektury atakowanego komputera: unikalną odmianę szkodliwego oprogramowania typu backdoor o nazwie SombRAT, programy do wypychania ładunków HTTP i odwrotnego DNS, skaner portów „nmap" oraz PsExec. W przypadku systemów 32-bitowych hakerzy używają CostaBricks - niestandardowego programu ładującego, który implementuje mechanizm maszyny wirtualnej, który inicjuje kod bajtowy odpowiedzialny za opis, ładowanie do pamięci i wykonanie ładunku złośliwego oprogramowania. Jeśli cel używa systemu 64-bitowego, CostaRicto wdraża inny moduł ładujący - moduł wstrzykiwania PE w PowerSploit.

Łańcuch ataków zaczyna się najprawdopodobniej od wykorzystania zebranych danych uwierzytelniających zebranych w wyniku phishingu lub po prostu kupionych w ciemnej sieci. Następnie CostaRicto ustawił kanał komunikacji z infrastrukturą Command-and-Control (C&C, C2) kampanii, zarządzaną przez sieć TOR lub system proxy. Do komunikacji w zaatakowanej sieci tworzony jest system tuneli SSH. Niektóre nazwy domen, które zostały zakodowane na sztywno w narzędziach złośliwego oprogramowania CostaRicto, mają na celu fałszowanie legalnych domen – uszkodzona domena „sbidb.net" naśladuje domenę State Bank of India Bangladesh, czyli „sbidb.com". Ciekawym faktem, który może być przypadkowy, jest ponowne wykorzystanie przez CostaRicto adresu IP, który został zaobserwowany w kampanii phishingowej przeprowadzonej wcześniej przez inną grupę hakerów - podmiot atakujący APT znany jako APT28.

Będąc grupą hakerów, którzy oferują swoje usługi najlepiej opłacanym klientom, działania firmy CostaRicto można przypisać ofiarom na całym świecie. Cele zidentyfikowano w Chinach, Stanach Zjednoczonych, Australii, Austrii, Holandii, Singapurze, Francji, Indiach, Mozambiku, Singapurze i Portugalii. Jedynym wzorcem, jaki można się domyślać, jest nieco wyższa koncentracja skompromitowanych maszyn w regionie Azji Południowej.