Symantec разoбличава нова, но много способна група професионални хакери

Групата, наречена Hidden Lynx, включва професионални хакери под наем, които се отличават със стабилна техническа подготовка, ловкост, организираност, търпение и изключителна находчивост в атаки срещу стотици различни организации в множество държави.

През последните няколко години, периодично се появяват доклади, описващи действията на групи лица зад различни целенасочени атаки или APT (Advanced Persistent Threats – Високоефективни настойчиви заплахи). Напоследък в Symantec Security Response следят група, която според компанията е една от най-добрите по рода си. Security специалистите са ги нарекли Hidden Lynx—по името на открит „string" в контролните комуникации на сървърите. По мнението на Symantec, тази група се характеризира с настървеност и целенасоченост, надхвърлящи тези на други добре познати групи като APT1/Comment Crew, и се отличава със стабилна техническа подготовка, ловкост, организираност, търпение и изключителна находчивост.

hackers

Тези качества се изявяват в безмилостните кампании, които групата води паралелно и за продължителен период от време срещу множество цели. Те са пионери на техниката "watering hole", при която се атакуват конкретни организации. Хакерите на Hidden Lynx са способни да получат достъп до компютърното оборудване още на етапа на неговата доставка и преди въвеждането му в експлоатация. Те притежават упоритостта и търпението на интелигентен ловец, за да компрометират веригата за доставки и така да достигнат до истинската си цел. Тези атаки на веригата за доставки се извършват чрез заразяване на компютрите още при доставчика на набелязаната цел, след което хакерите изчакват заразените компютри да бъдат инсталирани и свързани в мрежата. Съвсем ясно е, че това са добре калкулирани действия, а не импулсивни аматьорски набези, подчертават от Symantec.

По наблюденията на компанията, групата Hidden Lynx не се ограничава до единични цели; вместо това, тя таргетира стотици различни организации в множество държави, много често едновременно. Предвид вида и броя на целите и въвлечените държави, в Symantec считат, че тази група най-вероятно се състои от професионални хакери, които се наемат от клиенти, за да им осигурят информация. Те извършват кражби по заявка и доставят това, от което се интересуват техните клиенти, откъдето се явява широкото разнообразие и обхват на целите под прицел.

Специалистите на Symantec вярват също, че за да се осъществяват атаки от този ранг, групата трябва да има значителна хакерска експертност под ръка, може би 50 до 100 сътрудника, които са организирани в най-малко два отделни екипа. И двата екипа имат за цел да извършват различни дейности посредством различни софтуерни инструменти и техники. Такъв тип действия изискват време и усилия, за да бъдат извършени, някои от кампаниите изискват проучване и събиране на данни преди да се инициират каквито и да било успешни кибер атаки.


Symantec разoбличава нова, но много способна група професионални хакери

© PCWorld България, pcworld

 

На преден план на тази група е екип, който използва налични софтуерни инструменти, комбинирани с основни, но ефективни техники за атакуване на множество различни цели. Те също така могат да извършват събиране на данни. Този екип в Symantec са нарекли екип Moudoor на името на вида вирус от типа Троянски кон, който те използват. Moudoor е вид „back door" Троянски кон, който екипът използва свободно без да се тревожи, че ще бъде разкрит от фирмите за сигурност. Друг екип действа като подразделение за специални операции, елитен персонал предназначен да разбива най-ценните или трудни цели. Елитният екип (наречен екип Naid) използва Троянски кон със същото име. За разлика от Moudoor, вирусът Naid се използва ограничено и предпазливо, за да се избегне разкриване и улавяне, като скрито оръжие, което се използва, само когато провалът не е опция.

От 2011 г. насам Symantec отбелязва най-малко шест значителни кампании, извършени от тази група. Най-забележителната от тези кампании е кибер атаката VOHO от юни, 2012 г. Това което е особено интересно при нея, е употребата на техниката „watering hole" и компрометирането на механизма за подписване на безопасни файлове на Bit9.Атаката VOHO се прицелва в подизпълнители на министерството на отбраната на САЩ, защитени със софтуер на компанията Bit9. Когато обаче прогресът на атакуващите от Hidden Lynx е блокиран от това препятствие, те преглеждат отново опциите си и откриват, че най-добрият път за пробив на защитата, е да изложат на риск сърцевината на системата за защита и да я обърнат така, че тя да работи в тяхна полза. Точно това и правят, когато насочват вниманието си към Bit9 и извършват пробив в техните системи. Веднъж извършили пробив, атакуващите бързо намират пътя към инфраструктурата за означаване на файлове, която е основата на защитния модел Bit9. След това, те използват тази система, за да въведат определен брой злонамерени файлове, след което тези файлове са използвани, за да компрометират истинските цели.

За тези, които се интересуват от повече информация по темата, Symantec публикува специална бяла книга (линкът води към PDF файл), която описва групата и кибер атаките, извършени от нея. А ето и кратко обобщение на основните факти за Hidden Lynx под формата на инфографика.


Symantec разoбличава нова, но много способна група професионални хакери

© PCWorld България, pcworld


Symantec разoбличава нова, но много способна група професионални хакери

© PCWorld България, pcworld

Twitter icon Facebook icon
Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук.