Niewyraźne linie: Cyberespionage grupa złapała pożyczkę bankowego kodu złośliwego oprogramowania

Grupa hakerów atakujących organizacje wojskowe i rządowe niedawno wypożyczyła kod ze starego trojana bankowości internetowej o nazwie Carberp, co zacieśnia granicę między cyberprzestępczością a cyberprzestępstwem.

Grupa hakerów to znany pod różnymi nazwami w branży bezpieczeństwa, w tym Pawn Storm i APT28. Jego głównym narzędziem do zwalczania złośliwego oprogramowania jest backdoorowy program o nazwie Sednit lub Sofacy.

Grupa działa od co najmniej 2007 r. I jest adresowana do rządowych, bezpieczeństwa i wojskowych organizacji z państw członkowskich NATO, a także do kontrahentów wojskowych i organizacji medialnych, ukraińskich polityków. aktywiści i krytycy Kremla.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Nie jest jasne, dlaczego taka grupa pożyczyłaby kod od trojana bankowego, który pochodzi z 2009 roku. Może to być szybka naprawa aby uniknąć wykrycia po tym, jak jego własne narzędzie zostało ujawnione i udokumentowane lub może być tylko dywersją.

A może kod Carberp, który wyciekł online w 2013 r., był naprawdę skuteczniejszy niż ten, który mógł samodzielnie stworzyć Pawn Storm. To było zdecydowanie tańsze niż pisanie czegoś od zera.

Podobieństwa kodu zostały dostrzeżone przez badaczy bezpieczeństwa z firmy F-Secure, producenta antywirusów, którzy przeanalizowali ostatnie kampanie grupy.

Nowe połączenie Storm Bunt, w połączeniu z ostatnią aktywnością z gangu znanym jako Anunak lub Carbanak, który używa również szkodliwego oprogramowania opartego na Carberpie, wskazuje, że ten stary trojan wciąż żyje i kopie, zakończyli naukowcy F-Secure.

W 2014 r. gang Anunak / Carbanak, który również używa ukierunkowanych ataków zamiast kampanie masowe, udało im się zainfekować ponad 100 instytucji finansowych na całym świecie i ukraść 1 miliard dolarów. Według raportu opublikowanego we wtorek przez dostawcę oprogramowania antywirusowego ESET, grupa niedawno powróciła z nowymi atakami.

Modus operandi firmy Pawn Storm jest wyrafinowany i łączy różne techniki dystrybucji złośliwego oprogramowania. Grupa wykorzystała e-maile typu spear phishing ze złośliwymi dokumentami Microsoft Office, witrynami z exploitami zero-day, fałszywymi stronami logowania do programu Microsoft Outlook Web Access (OWA), a nawet nieuczciwymi dodatkami przeglądarki.

Ponieważ ich wybór docelowy zdaje się odzwierciedlać geopolityczne podejście Rosji zainteresowani, niektórzy badacze bezpieczeństwa uważają, że grupa jest sponsorowana przez agencje wywiadowcze tego kraju.

Według naukowców F-Secure, element droppera Sofacy, który służył jako ładunek exploitów Pawna Storma w ostatnich miesiącach, opiera się na kodzie źródłowym Carberp . Jest to mały plik DLL upuszczony w systemie, którego celem jest skontaktowanie się z serwerem kontroli i pobranie dodatkowych komponentów.

"Dokładnie odwracając bibliotekę DLL, okazało się, że rodzina ta jest oparta na źródle Carberp kodu ", powiedział naukowiec F-Secure we wtorek w poście na blogu. "Funkcje używane przez Sofacy [droppera] oparte na źródłach Carberp obejmują algorytm rozpoznawania API i mechanizm wstrzykiwania kodu, a algorytm używany do generowania losowych adresów URL jest luźno oparty na algorytmie Carberp."

Istnieją jednak również główne różnice w implementacji między dropującym Sofacy a publicznie wyciekanym kodem Carberp. Sugeruje to, że grupa Pawn Storm ma dostęp do nowszej wersji Carberpa lub że rozwija ją prywatnie.

Od 2009 r. Kilka grup cyberprzestępców używało Carberpa, a większość z nich została aresztowana przez rosyjskie władze. Trojan był dziwakiem w świecie cyberprzestępczości, ponieważ przez wiele lat był używany tylko przeciwko użytkownikom bankowości internetowej z Rosji i krajów byłego Związku Radzieckiego.