Raport pokazuje, że pozornie niezwiązane ze sobą ataki mogą być elementami szerszej strategii realizowanej za pomocą współdzielonej infrastruktury programistyczno-logistycznej. Oznacza to, że ofiary takich ataków często nie są świadome tego, że mają do czynienia ze zorganizowaną grupą cyberprzestępców, na której czele może stać jeden człowiek – “handlarz cyberbronią”.
W raporcie przeanalizowano 11 zaawansowanych ataków APT o długotrwałym działaniu wymierzonych w podmioty z różnych branż. Mimo że ataki te na pierwszy rzut oka wydawały się niezwiązane ze sobą, głębsza analiza wykazała kilka elementów wspólnych: te same narządzenia wykorzystujące złośliwe oprogramowanie, te same elementy kodu, pliki binarne z tymi samymi znacznikami czasu oraz podpisane pliki binarne z tymi samymi certyfikatami cyfrowymi.
Dwa najważniejsze wnioski płynące z raportu:
- Wspólna infrastruktura programistyczno-logistyczna: Analiza 11 zaawansowanych ataków o długotrwałym działaniu pokazała, że cyberprzestępcy wykorzystują wspólną infrastrukturę programistyczno-logistyczną do przeprowadzania pozornie niezwiązanych ze sobą ataków. Infrastrukturę tę najlepiej opisuje określenie “cyfrowy kwatermistrz”. Głównym zadaniem takiego “kwatermistrza” jest dostarczanie złośliwego oprogramowania oraz narzędzi służących szpiegostwu cyfrowemu. Cyfrowy kwatermistrz może być również swoistym “handlarzem cyberbronią”, czyli dostarczycielem narzędzi do przeprowadzania ataków i przejmowania kontroli nad systemami.
- Wspólne narzędzie programistyczne: Badacze z firmy FireEye zlokalizowali narzędzie programistyczne, które prawdopodobnie zostało użyte w niektórych ze zanalizowanych 11 ataków APT. Okna dialogowe i opcje menu w narzędziu programistycznym były
w języku chińskim, co oznacza, że narzędzie mogło zostać opracowane i było używane przez osoby chińskojęzyczne.
Zdjęcie kobiety z bronią pochodzi z serwisu Shutterstock
