Правительственные шпионы сотрудничают с криминальными хакерскими группировками

Правительственные шпионы сотрудничают с криминальными хакерскими группировками

Во многом взаимодействие между спонсируемыми государством хакерами и организованными преступными группировками, мишенями которых является, например, онлайн-банкинг, напоминает взаимовыгодные союзы, встречающиеся в природе каждый день. Подобно тому, как человеческий кишечник, являясь идеальной средой для размножения некоторых видов бактерий, одновременно получает от них необходимые питательные вещества и вещества, способствующие пищеварению, хакеры часто взаимодействуют с правительственным шпионами, осуществляя APT-атаки, нацеленные на Google, RSA Security и другие американские компании.

Потенциальная выгода от сотрудничества спонсируемых государством хакеров с организованными преступными группировками заключается в том, что вышеперечисленные группы часто контролируют зараженные машины, принадлежащие правительственным подрядчикам и крупнейшим промышленным компаниям США. Большинство машин никогда не ведут дела в режиме онлайн и, соответственно, не представляют большого интереса для хакеров, однако это позволяет инфицированным машинам существовать долгие месяцы.

Эти же машины, однако, могут оказаться "золотой жилой" для правительственных шпионов, которые разрабатывают APT с целью завладения военными проектами или другой конфиденциальной информацией противника. Таким образом, вместо того, чтобы внедрять вредоносную программу с нуля, им нужно всего лишь подключиться к ботнету, контролируемому хакерами, чтобы получить доступ к зараженной машине или защищенной сети, данными которой хотят завладеть шпионы.

"Практически всегда дешевле сделать последнее", - говорит Дариен Киндлунд, ведущий исследователь компании FireEye, занимающейся кибер-безопасностью. "Все это является показателем взаимовыгодного сотрудничества – симбиоза".

В обмен на доступ к зараженным машинам, правительственные подрядчики часто предоставляют хакерам информацию о ранее неизвестных уязвимостях в Internet Explorer и других приложений. Как только эти уязвимости становятся известными специалистам по безопасности, защищающим правительственные сети, вредоносные коды сразу же теряют свою ценность для правительственных шпионов. Этот же код, однако, часто имеет хождение среди группировок, охотящихся за малыми предприятиями и семейным бизнесом.

Несколько месяцев назад Киндлунду выпал шанс задокументировать подобный вид сотрудничества, когда он работал над системой безопасности для одного правительственного подрядчика. В марте исследователи FireEye обнаружили изворотливый троян, используемый членами Ghostnet - шпионской группой, симпатизирующей китайскому правительству, и известной своими атаками на сторонников Далай Ламы и корпорации и правительства в более чем 100 странах.

15 марта исследователи FireEye обнаружили следы присутствия трояна в зараженных сетях и разработали способ устранения угрозы. Менее чем тремя неделями позже вредоносное ПО, известное как Trojan.FakeAV.BU, начало бродить по Сети, оставляя те же "отпечатки", что и в предыдущем случае.

"Это происходит регулярно", - говорит Киндлунд. "Обычно это происходит каждые несколько месяцев. Мы подозреваем, что скоро эта лавочка закроется, однако, если речь идет о более сложных атаках, то мы видим, что все не так уж и хорошо".

В обмен на "поношенное" вредоносное ПО, которое больше никому не нужно, APT-группировки получают доступ к ботнетам, контролируемым хакерами, заявляет Киндлунд. В поддержку своих слов он привел недавно опубликованный доклад ученого Стефана Саваджа из Калифорнийского университета в Сан-Диего, и статьи, опубликованные журналистом, освещающим вопросы кибер-безопасности, Брайаном Кребсом.

Как Савадж, так и Кребс говорят о доступности зараженных компьютеров на подпольных рынках. Киндлунд говорит о том, что APT-группы часто пользуются этими сервисами. Он заявил о том, что сотрудничество между правительством и мошенниками настолько частое явление, что подпольные торговцы получают от этого огромные прибыли.

Источник:
Xakep.ru