CostaRicto APT

CostaRicto je ime, dano hekerski skupini, ki očitno deluje kot plačanec in ponuja svoje storitve za najem. Njegove dejavnosti so odkrili strokovnjaki za infosec pri BlackBerryju, ki so odkrili obsežno vohunsko kampanjo. Takšne skupine "hekerjev za najem" se vse pogosteje pojavljajo v podzemlju kibernetskega kriminala, saj imajo zmogljivosti in orodja, ki so enakovredne skupinam za napredno obstojno grožnjo (APT), ki jih sponzorira država, vendar lahko delujejo na svetovni ravni v več industrijskih sektorjih. v skladu s potrebami svojih strank.

CostaRicto uporablja nabor orodij za grožnje z zlonamerno programsko opremo po meri, ki so jih ustvarili hekerji sami ali pa so jih naročili izključno. V kampanji kibernetskega vohunjenja so hekerji uporabili dve vrsti nakladalnikov, odvisno od arhitekture ciljnega računalnika, edinstveno vrsto zlonamerne programske opreme za zakulisje, imenovano SombRAT, HTTP in reverse-DNS payload stagers, skener vrat 'nmap' in PsExec. Za 32-bitne sisteme hekerji uporabljajo CostaBricks - nalagalnik po meri, ki izvaja mehanizem navideznega stroja, ki sproži bajtno kodo, ki je odgovorna za opis, nalaganje v pomnilnik in izvedbo koristnega tovora zlonamerne programske opreme. Če cilj uporablja 64-bitni sistem, CostaRicto uporabi drugačen nalagalnik - PowerSploitov odsevni PE injection modul.

Napadna veriga se najverjetneje začne z uporabo zbranih poverilnic, zbranih z lažnim predstavljanjem ali preprosto kupljenih na temnem spletu. Nato je CostaRicto vzpostavil komunikacijski kanal z infrastrukturo Command-and-Control (C&C, C2) kampanje, ki se upravlja prek omrežja TOR ali sistema proxy. Za komunikacijo znotraj ogroženega omrežja se ustvari sistem tunelov SSH. Nekatera imena domen, za katera je bilo ugotovljeno, da so trdo kodirana v orodja za zlonamerno programsko opremo CostaRicto, so zasnovana tako, da ponarejajo zakonite domene – poškodovana domena 'sbidb.net' posnema domeno Državne banke Indije Bangladeš, ki je 'sbidb.com'. Zanimivo dejstvo, ki bi lahko bilo po naključju, je CostaRictoova ponovna uporaba naslova IP, ki je bila opažena v kampanji lažnega predstavljanja, ki jo je predhodno izvedla druga hekerska skupina - akter grožnje APT, znan kot APT28 .

Ker je skupina hekerjev, ki ponujajo svoje storitve najbolje plačanim strankam, je poslovanje CostaRicto mogoče izslediti do žrtev po vsem svetu. Cilji so bili opredeljeni na Kitajskem, v ZDA, Avstraliji, Avstriji, na Nizozemskem, v Singapurju, Franciji, Indiji, Mozambiku, Singapurju in na Portugalskem. Edini vzorec, ki bi ga lahko domnevali, je nekoliko večja koncentracija ogroženih strojev v južnoazijski regiji.