Növekvő együttműködés figyelhető meg a kiberbűnöző csoportok között, akik állami megbízások alapján folytatnak kémkedést, és azok között, akik pénzügyi haszonszerzés céljából alkalmaznak zsarolóprogramokat és egyéb kiberbűnözési formákat. A kutatók szerint ez a tendencia az utóbbi években egyre hangsúlyosabbá vált.
Az amerikai Mandiant biztonsági cég kedden nyilvánosságra hozott jelentése szerint a növekvő együttműködés oka a szigorúbb költségvetési megszorítások mellett abban rejlik, hogy az állami megbízású kémkedés rejtve marad a pénzügyi motivációval végzett kiber támadások között.
Lehetőségek a kiberbűnözés világában
Az új megközelítés lehetővé teszi, hogy a modern kiberbűnözők egy adott kiberbűnözési területre specializálódjanak, és együttműködjenek más egyénekkel, akik különböző specializációval rendelkeznek. A kiberbűnözés képességeinek specializációja lehetőséget teremt az állami támogatású csoportok számára, hogy egyszerűen csak egy másik vásárlóként jelenjenek meg, akik általában más bűnözőknek értékesítenek.
A jelentés megállapította, hogy megnőtt a malware megosztása a kiberbűnöző csoportok és a kormányok között, különösen Oroszország, Kína és Irán esetében. A fenyegető csoportok közé tartozik:
- A APT44 orosz állami hackercsoport, amely a DarkCrystalRat, WarZone és RadThief nevű bűnözői eszközöket használja.
- A RadThief malware-t alkalmazó iráni állami szereplő, akit UNC5203-ként követnek.
- A Kínához köthető kémkedési operátor, akit UNC2286-ként azonosítanak, aki folyamatosan használja a SteamTrain zsarolóprogramot.
Fordított együttműködés
Csütörtökön a Symantec biztonsági cég kutatói arról számoltak be, hogy a RA World zsarolócsoport egy olyan „különleges eszközkészletet” használt, amelyet korábban kizárólag egy Kínához kötődő fenyegetési csoport kémkedési műveleteiben figyeltek meg. Az eszközkészlet a PlugX egy variánsa volt, amelyet júliusban észleltek először.
A PlugX variánsokkal végrehajtott további kémkedési támadások augusztusban történtek, amikor a támadó kompromittálta egy délkelet-európai ország kormányát. Ezt követően, szeptemberben, egy másik délkelet-ázsiai ország kormányzati minisztériumát támadták meg.
A Symantec kutatói különböző elméleteket fogalmaztak meg a két csoport közötti együttműködés okairól. A legvalószínűbb forgatókönyv szerint egy olyan szereplőről lehet szó, aki a munkahelye eszközeivel próbál pénzt keresni a mellékes tevékenységekkel.
Érdekes tény: A kiberbűnözés világában a zsarolóprogramok használata nem csupán a pénzszerzésről szól, hanem sokszor a kémkedés elfedésére is szolgálhat.
Források: Mandiant, Symantec
