Hidden Lynx – Hackeri profesionisti gata de angajare

Posted by Zoltán Márton on

image004In ultimii ani, au aparut o serie de rapoarte care detaliaza activitatile unor actori din spatele diferitelor atacuri cibernetice. Echipa Symantec Security Response a observat in mod continuu un grup pe care il considera unul dintre cele mai revelante din categorie. L-am denumit Hidden Lynx –  dupa un string (secventa de caractere) pe care l-am identificat in comunicatiile de tip comanda-si-control la nivel de server. Acest grup se defineste printr-o ambitie unica, care o depaseste pe cea a altor grupuri bine-cunoscute, cum ar fi APT1/Comment Crew. Caracteristicile cele mai importante ale acestui grup sunt:

• cunostinte tehnice
• agilitate
• organizare
• creativitate

• rabdare

 

Aceste atribute sunt vizibile in cadrul campaniilor constante realizate impotriva mai multor obiective in acelasi timp si pe o perioada sustinuta. Acestia pionierii “watering hole”, tehnica de ambuscada folosita pentru a distruge obiective, au acces in timp util la ceea ce numim vulnerabilitati „zero-day” si, in acelasi timp, au tenacitatea si rabdarea unui vanator inteligent, vizand compromiterea lantului de aprovizionare si atingerea in mod direct a tintei. Aceste atacuri asupra lantului de aprovizionare sunt efectuate prin infectarea calculatoarelor unui furnizor tinta. Apoi, le ramane doar sa astepte ca aceste computere infectate sa fie instalate si sa contacteze centrul. In mod clar, aceste actiuni sunt calculate si nu sunt simple incursiuni impulsive ale unor amatori.

Acest grup nu se limiteaza doar la o serie de obiective, ci are in vedere sute de organizatii din tari diferite, toate in acelasi timp. Avand in vedere amploarea, numarul de obiective si tarile implicate, deducem ca acest grup este, cel mai probabil, o organizatie de hackeri profesionisti gata de angajare, subcontractata de diversi clienti pentru a furniza informatii. Vorbim aici de furt de informatie la cerere, indiferent de cerintele clientilor, deci cu o gama variata de obiective.

 

In prima linie a acestui grup se afla o echipa care utilizeaza instrumente de unica folosinta, impreuna cu tehnici de baza, eficiente pentru a ataca mai multe tinte diferite. Acestia pot actiona, de asemenea, in calitate de colectori de informatii. Am denumit aceasta echipa Moudoor, dupa numele troian-ului pe care il folosesc. Moudoor este un troian (backdoor) pe care echipa il foloseste din plin, fara a se ingrijora de o eventuala indentificare de catre firmele de securitate. Cealalta echipa actioneaza ca o unitate de operatiuni speciale, un personal de elita folosit pentru a cuceri cele mai importante sau mai dificile tinte. Echipa de elita foloseste un troian numit Naid si, prin urmare, este cunoscuta sub numele de echipa Naid. Spre deosebire de Moudoor, troianul Naid este utilizat cu moderatie si cu grija, pentru a evita detectarea si capturarea, precum o arma secreta folosita numai atunci cand esecul devine un final posibil.

 

Incepand cu 2011, am observat cel putin sase astfel de campanii importante conduse de catre acest grup. Cea mai importanta dintre aceste campanii este campania VOHO, din iunie 2012. Ceea ce a fost diferit in cadrul acestui atac a fost utilizarea tehnicii de watering hole si compromiterea infrastructurii de securite a Bit9. Campania VOHO a targetat subcontractorii  guvernului american ale caror sisteme erau protejate de sistemul de protectie software al Bit9. Atunci cand progresul Hidden Lynx a fost blocat de acest obstacol, acestia si-au reconsiderat rapid optiunile si au constatat ca cea mai buna modalitate de a continua este aceea de a compromite centrul sistemului de protectie in sine. Este exact ceea ce au si facut atunci cand si-au focusat atentia asupra Bit9 si cand le-au atacat sistemele de securitate. Odata trecut acest obstacol, atacatorii si-au gasit repede drumul in fisierul de infrastructura care statea la baza modelului de protectie Bit9. Apoi, au folosit acest sistem pentru a insera un numar de fisiere malware, acestea folosind, la randul lor, la compromiterea obiectivelor reale.

 

Pentru mai multe informatii despre acest grup, puteti accesa aceasta analiza, care descrie pe larg grupul si campaniile pe care le-a intreprins.

18 Octombrie 2013, Bucuresti – Symantec

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.