Symantec раскрывает информацию об элитной группе наемных хакеров

Корпорация Symantec раскрывает информацию о работе элитной группы наемных хакеров, которые совершили, по крайней мере, 6 атак за последние три года.

Группу отличает организованность и применение технически совершенных приемов для осуществления атак одновременно на множество организаций по всему миру. Эксперты предполагают, что хакерская группа насчитывает не менее 50-100 профессионалов высокого уровня.

В последние несколько лет появляются новые сообщения о деятельности злоумышленников, стоящих за различными направленными атаками и атаками типа APT (Advanced Persistent Threat – продвинутая устойчивая угроза). Специалисты группы Symantec Security Response уже некоторое время занимаются изучением деятельности одной из таких групп, которая, вероятно, является одной из лучших хакерских групп, базирующихся в Китае. Эксперты Symantec назвали их Hidden Lynx – из-за строчки, которая была обнаружена в коммуникации между вредоносной программой и ее сервером управления. Эта группа своим рвением превосходит все другие известные хакерские группировки, такие как, например, APT1/Comment Crew. Среди ее ключевых особенностей – техническое совершенство, адаптивность, организованность, изобретательность, терпеливость.

Злоумышленники продемонстрировали эти качества в ходе безжалостных атак, осуществляемых одновременно на множество целей на протяжении длительного времени. Именно эта группа первой начала применять атаки типа watering hole в качестве способа приманки целей. Они раньше многих других получают доступ к уязвимостям нулевого дня, а также обладают упорством и терпеливостью умного охотника ‒ атака осуществляется еще на этапе поставки оборудования: злоумышленники заражают компьютеры, когда те находятся у поставщика. Злоумышленники ждут, пока компьютеры будут привезены и введены в эксплуатацию жертвой, после чего зараженные компьютеры входят в контакт с их сервером управления. Такая схема указывает на четко спланированную атаку.

При этом целями атак этой группировки оказываются одновременно множество организаций по всему миру. Учитывая разнообразие и число целей, а также стран, в которых осуществляются атаки, эксперты Symantec заключили, что речь, скорее всего, идет о профессиональной группе хакеров, которые занимаются кражей информации на заказ. Именно наемным характером их деятельности объясняется такое разнообразие целей.

Кроме того, специалисты полагают, что для осуществления атак такого масштаба группа должна состоять из профессионалов высокого уровня и насчитывать не менее 50‒100 сотрудников, организованных как минимум в две отдельные команды, каждая из которых реализует свои собственные задачи, используя свой особый набор инструментов и приемов. Реализация такого рода атак требует времени и усилий, и иногда успешное осуществление атаки без предварительного изучения и сбора информации просто невозможно.

На линии фронта в этой группировке находится команда, применяющая доступные инструменты и простые, но в то же время эффективные методы для атаки множества различных целей. Возможно, они также занимаются сбором сведений. Эксперты Symantec назвали их «команда Moudoor» . Moudoor – это троян типа back door, который они используют, не заботясь о том, что могут быть обнаружены системами безопасности. Вторая команда выступает в качестве оперативного отряда – элитные профессионалы, занимающиеся взломом самых ценных или самых трудных целей. Эта команда применяет вирус Naid, и поэтому в Symantec их назвали «команда Naid». В отличие от Moudoor, троян Naid используется с осторожностью, чтобы избежать обнаружения, как секретное оружие в случае, когда провал недопустим.

Начиная с 2011 г. эксперты Symantec были свидетелями, по меньшей мере, шести атак, осуществленных этой группой. Самой примечательной стала атака VOHO в июне 2012 г. Наиболее интересным в этой атаке было применение техники watering hole, а также заражение инфраструктуры Bit9 по подписи безопасных файлов. Целями атаки VOHO были компании-подрядчики министерства обороны США, чьи системы были защищены программным
обеспечением Bit9. Столкнувшись с таким препятствием, участники Hidden Lynx взвесили все возможности и решили, что лучший способ обойти защиту – проникнуть в самое сердце этой системы и использовать ее в своих целях. Именно так они и поступили. Осуществив взлом, злоумышленники быстро проникли в систему подписи файлов, которая лежала в основе защиты Bit9, и с ее помощью подписали ряд вредоносных файлов, а затем использовали их для атаки на конечную цель.