Стирання меж між кіберзлочинністю та спонсорованими державою атаками підкреслює все більш мінливий і багатогранний характер сучасних кіберзагроз
Був час, коли межу між кіберзлочинністю та діяльністю державних загроз було досить легко помітити. Кіберзлочинців керував виключно мотив прибутку. А їхні колеги в уряді проводили переважно кампанії кібершпигунства, а також час від часу руйнівні атаки, щоб сприяти геополітичним цілям своїх роботодавців. Однак останніми місяцями ця лінія почала розпадатися, включно з програмами-вимагачами, тенденцією, яка також відзначена в останньому звіті ESET про загрози.
Це потенційно має значні наслідки для керівників ІТ та безпеки: не лише збільшує ризик атаки, але й змінює обчислення щодо того, як зменшити цей ризик.
Розмиті лінії в кіберпросторі
Ви можете стверджувати, що атаки програм-вимагачів, запущені державними хакерами, насправді не є чимось новим. Вважається, що в 2017 році афілійовані з Північною Кореєю агенти запустили WannaCry (він же WannaCryptor), першого в історії глобального хробака-вимагача. Це було зупинено лише після того, як дослідник безпеки натрапив і активував «перемикач блокування», прихований у шкідливому коді. У тому ж році державні хакери запустили кампанію NotPetya проти українських цілей, хоча в цьому випадку це було фактично деструктивне шкідливе програмне забезпечення, замасковане під програму-вимагач, щоб збити слідчих із запаху. У 2022 році ESET спостерігала, як російська група Sandworm використовує програми-вимагачі подібним чином: як очищувач даних.
Відтоді межа між державними операціями та фінансово вмотивованим злочином стирається. Як ми також зазначали деякий час тому, багато постачальників темної мережі продають експлойти та зловмисне програмне забезпечення державним суб’єктам, а деякі уряди наймають незалежних хакерів для допомоги в певних операціях.
Що відбувається сьогодні?
Однак, схоже, ці тенденції прискорюються. Зокрема, нещодавно ESET та інші спостерігали кілька очевидних мотивів:
Програми-вимагачі для наповнення державної скарбниці
Урядові хакери навмисно використовують програми-вимагачі як інструмент заробляння грошей для держави. Це найбільш очевидно в Північній Кореї, де групи загроз також націлені на криптовалютні фірми та банки, використовуючи складні мегакрадіжки. Фактично, вважається, що вони отримали близько 3 мільярдів доларів незаконного прибутку від цієї діяльності між 2017 і 2023 роками.
У травні 2024 року Microsoft спостерігала, як пов’язана з Пхеньяном Moonstone Sleet розгортає спеціальне програмне забезпечення-вимагач під назвою «FakePenny» на наступних роботах кількох аерокосмічних і оборонних організацій після того, як спочатку викрала конфіденційну інформацію. «Така поведінка свідчить про те, що актор мав на меті як збір розвідданих, так і монетизацію доступу до них», — йдеться в повідомленні.
Північнокорейська група Andariel також підозрюється в тому, що надала початковий доступ і/або партнерські послуги групі програм-вимагачів, відомій як Play. Це тому, що програма-вимагач Play була помічена в мережі, яка раніше була зламана Andariel.
Заробляння грошей на стороні
Іншим мотивом участі держави в атаках програм-вимагачів є бажання державних хакерів заробити гроші підробітком. Одним із прикладів є іранська група Pioneer Kitten (така ж Fox Kitten, UNC757 і Parisite), яка була помічена ФБР, яка «співпрацює напряму з афілійованими програмами-вимагачами, щоб забезпечити операції шифрування в обмін на відсоток від виплати викупу».
Він тісно співпрацював з NoEscape, Ransomhouse і ALPHV (так званий BlackCat), не лише надаючи початковий доступ, але й допомагаючи блокувати мережі жертв і співпрацюючи над способами вимагання жертв.
Відбиває слідчих від запаху
Пов’язані з державою групи APT також використовують програми-вимагачі, щоб приховати справжні наміри атак. Вважається, що це те, що пов’язана з Китаєм ChamelGang (ака CamoFei) робила в кількох кампаніях, націлених на організації критичної інфраструктури у Східній Азії та Індії, а також у США, Росії, Тайвані та Японії. Використання програм-вимагачів CatB таким чином не тільки забезпечує прикриття для цих операцій кібершпигунства, але й дозволяє оперативникам знищити докази крадіжки їхніх даних.
Чи має значення атрибуція?
Очевидно, чому підтримувані урядом групи використовують програми-вимагачі. Принаймні, це забезпечує їх корисним прикриттям правдоподібного заперечення, яке може заплутати слідчих. І в багатьох випадках це робиться, водночас збільшуючи державні доходи та допомагаючи мотивувати найнятих державою хакерів, які часто є не більш ніж погано оплачуваними державними службовцями. Велике питання полягає в тому, чи дійсно має значення, хто атакує? Зрештою, Microsoft навіть знайшла докази того, що урядові установи передають роботу оптом на аутсорсинг, хоча у випадку зі Storm-2049 (UAC-0184 і Aqua Blizzard програм-вимагачів не було).
Тут є дві школи думки. З одного боку, рекомендації щодо найкращих практик безпеки все одно мають бути правдивими та бути ефективним способом підвищення стійкості та прискорення реагування на інциденти, незалежно від того, хто атакує. Насправді, якщо державні групи APT зрештою використовують тактику, методи та процедури кіберзлочинності (TTP), це може навіть принести користь мережевим захисникам, оскільки їх, швидше за все, легше виявити та захистити від них, ніж складні спеціальні інструменти.
Однак є також аргумент на користь того, що розуміння супротивника є важливим першим кроком до управління загрозою, яку він представляє. Це пояснюється в дослідницькому звіті 2023 року «Профілювання кібер-зловмисників для аналізу ризиків на основі машинного навчання»: «Одним із важливих компонентів аналізу ризиків кібербезпеки є визначення моделі зловмисника. Зазначена модель зловмисника або профіль зловмисника впливає на результати аналізу ризиків і подальший вибір заходів безпеки для інформаційної системи».
Групи APT дедалі частіше розгортають програми-вимагачі – і це погана новина для всіх
