Táticas de ciberespionagem

complexidade e modularidade VS funcionalidade

Esta nova tendência foi confirmada por uma análise detalhada da plataforma de espionagem EquationDrug. Especialistas da Kaspersky Lab descobriram que, devido ao sucesso crescente da indústria em expor grupos avançados de ameaças persistentes (APT), os agentes de ameaças mais sofisticados agora se concentram em aumentar o número de componentes em suas plataformas maliciosas, com o intuito de reduzir a sua visibilidade e aumentar a discrição.

As últimas plataformas têm muitos módulos de plugin, o que lhes permite selecionar e executar uma ampla gama de funções diferentes, dependendo da vítima e informações em sua posse. Kaspersky Lab estima que o EquationDrug tem 116 plugins diferentes.

“Os responsáveis pelos ataques estão à procura de maior estabilidade, invisibilidade, confiabilidade e universalidade em suas ferramentas de ciberespionagem. Eles estão focados na criação de frameworks para embalar tais códigos para que possam ser personalizados em sistemas vivos e fornecer uma maneira confiável de armazenar todos os componentes e dados de forma criptografada, inacessível para os usuários comuns “, – explica Costin Raiu, Diretor do GReAT, Time Global de Análise e Pesquisa da Kaspersky Lab. – “A sofisticação do framework faz com que este tipo de agente seja diferente de cibercriminosos tradicionais, que preferem se concentrar na capacidade de carga e de malware projetados para ganhos financeiros”.

Outras formas em que os responsáveis por esses ataques patrocinados por governos diferenciam suas táticas de cibercriminosos tradicionais são:

• Escala. Cibercriminosos tradicionais distribuem e-mails em massa com anexos maliciosos ou infectam sites em larga escala, enquanto agentes de governos preferem direcionar cuidadosamente seus ataques, infectando apenas alguns usuários selecionados a dedo.

• Abordagem individual. Enquanto os cibercriminosos tradicionais tipicamente reutilizam códigos-fonte, tais como o do infame Zeus ou Trojans Carberb, os agentes de governos constroem malware original, personalizados, e até mesmo implementam restrições que impedem a descriptografia e execução fora do computador de destino.

• Extração de informações valiosas. Os cibercriminosos em geral tentam infectar o maior número possível de usuários. No entanto, eles não têm tempo e espaço de armazenamento para verificar manualmente todas as máquinas que eles infectam e analisar quem os possui, que dados estão armazenados neles e qual software utilizam – e, em seguida, transferir e armazenar todos os dados potencialmente interessantes.

• Como resultado, eles codificam todo malware em um só, que irá extrair apenas os dados mais valiosos, tais como senhas e números de cartão de crédito das máquinas das vítimas – atividade que poderia rapidamente despertar a atenção de qualquer software de segurança instalado.
• Os atacantes patrocinados por governos, por outro lado, têm recursos para armazenar tantos dados quanto quiserem. Para desviarem da atenção e se manterem invisíveis para o software de segurança, eles tentam evitar infectar usuários aleatórios, preferindo recorrer a uma ferramenta de gerenciamento de sistema remoto genérico que pode copiar qualquer informação que possa precisar e em quaisquer volumes. Isso poderia, no entanto, trabalhar contra eles, como movendo um grande volume de dados pode desacelerar a conexão de rede e levantar suspeitas.

A EquationDrug é a principal plataforma de espionagem desenvolvida pelo Equation Group. Ela tem sido usada por mais de uma década, embora atualmente esteja sendo substituída em larga escala pela plataforma GrayFish, ainda mais sofisticada. As tendências táticas confirmadas pela análise da EquationDrug foram observadas pela primeira vez pela Kaspersky Lab durante a investigação sobre as campanhas de ciberespionagem Careto e Regin, entre outros.

Para ler as últimas notícias sobre a plataforma EquationDrug, por favor visite o blog http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/.