Nell'arco di poco più di tre mesi, i ricercatori hanno smascherato tre gruppi mercenari di "hacker su commissione" impegnati nello spionaggio industriale e nel furto di segreti aziendali a scopo di lucro.
Nonostante utilizzino tattiche, tecniche e procedure più tipiche di un gruppo ATP di uno stato nazionale, questi attori della minaccia – Dark Basin , DeathStalker e un gruppo di terza entità senza nome dettagliato alla fine del mese scorso da Bitdefender – sembrano non avere uno sponsor governativo. Al contrario, offrono i loro servizi di spionaggio informatico al miglior offerente, sotto forma di organizzazioni o individui che cercano informazioni sulla loro concorrenza commerciale o sui loro nemici percepiti.
Tali gruppi mercenari esistono da molto tempo, ma questa rapida serie di scoperte suggerisce almeno una possibile tendenza. Potremmo essere testimoni della prima ondata di un nuovo afflusso di gruppi APT-for-Hire che entrano nel mercato del dark web, pronti a depredare le imprese?
In un recente white paper, Bitdefender ha affermato che questa "mercificazione dei gruppi APT" è "probabile che diventi la nuova normalità".
"Il fatto che più fornitori di sicurezza abbiano iniziato a vedere queste tattiche e tecniche in stile APT utilizzate suggerisce che questa potrebbe essere l'ultima tendenza e un'evoluzione naturale verso APTs-as-a-service", ha detto il coautore del white paper Liviu Arsene, analista di sicurezza informatica globale presso Bitdefender, in un'intervista con SC Media. "Proprio come il malware tradizionale si è evoluto in malware-as-a-service o il ransomware si è evoluto in ransomware-as-a-service, era solo una questione di tempo – e un'evoluzione in qualche modo naturale – prima che gli hacker APT iniziassero a offrire il loro contratto basato servizi e competenze al miglior offerente ".
E se questo è vero, le aziende potrebbero non essere pronte, specialmente quelle più piccole.
"Il rischio reale è che gli hacker su commissione APT cambieranno il modo in cui le piccole e medie imprese si avvicinano alla sicurezza", ha affermato Arsene. “Ad esempio, se una piccola azienda nel settore della progettazione immobiliare o architettonica non avesse APT nel proprio modello di minaccia, ora c'è un'alta probabilità che possa affrontare attacchi in stile APT semplicemente perché appaltatori in grandi progetti. Lo stesso vale per qualsiasi piccola e media impresa, il che significa che questa nuova minaccia APT-as-a-service potrebbe innescare un'ondata di cambiamenti nel modo in cui queste aziende pianificano e implementano la sicurezza d'ora in poi ".
Brandon Hoffman, CISO di Netenrich, ritiene che diversi fattori possano essere alla base dell'emergere di queste ultime entità di hacking mercenario.
“In particolare è il successo che questi gruppi hanno. Più i gruppi mercenari hanno successo, più le persone qualificate si dedicheranno a questo tipo di operazione ”, ha detto Hoffman.
La maggiore disponibilità di strumenti in stile APT può essere un altro fattore. In alcuni casi, i mercenari potrebbero persino essere attori sponsorizzati dallo stato che cercano di guadagnare un dollaro in più durante il loro tempo libero. "Abbiamo visto malware riproposto dall'attività degli stati-nazione comparire nel crimine informatico motivato finanziariamente, il che indica questo comportamento al chiaro di luna", ha detto Hoffman. Altri attori, nel frattempo, sono “criminali informatici strettamente motivati finanziariamente” che “stanno semplicemente cercando un modo nuovo o più pulito per monetizzare le proprie capacità al di là dei metodi tradizionali. Ciò è probabilmente correlato all'aumento del successo dei meccanismi antifrode e ai limitati meccanismi di prelievo a disposizione dei criminali informatici ".
E infine, potremmo incontrare più di questi gruppi mercenari per il semplice fatto che i ricercatori e gli analisti stanno migliorando nel individuarli. "C'è un preciso livello di impegno nel mondo della ricerca, poiché le tecniche di identificazione migliorano e le abilità dei ricercatori aumentano per esporre questi gruppi", ha aggiunto Hoffman.
Stephen Boyce, consulente principale del Gruppo Crypsis, ha concordato, osservando che "negli ultimi anni, c'è stato un aumento dell'intelligence open source e della formazione e delle certificazioni cyber threati, che ha fornito agli operatori della sicurezza nuove tattiche, tecniche e procedure per rintracciarli, rendendo più evidenti le loro attività. "
Un trio di guai
Dark Basin, DeathStalker e il gruppo esposto da Bitdefender mostrano ciascuno il proprio comportamento di attacco e targeting unico.
Più di recente, Bitdefender ha denunciato un gruppo di hacker su commissione che utilizza un'infrastruttura di comando e controllo basata sulla Corea del Sud per condurre operazioni di spionaggio informatico contro una società di produzione video e architettonica internazionale non identificata che si impegna con sviluppatori immobiliari da miliardi di dollari a New York e altrove nel mondo.
Ciò porta a una delle domande più intriganti quando si tratta di questi gruppi di hacking su commissione: chi li sta effettivamente contraendo?
Ed è qui che la pista a volte diventa fredda, poiché questo tipo di servizi avvolge la parte pagante nell'anonimato. In effetti, "è estremamente difficile identificare l'entità che assume a meno che il risultato del gruppo mercenario non venga esposto o il TTP non sia unico per un settore specifico", ha detto Hoffman.
"Poiché le motivazioni alla base di questi attacchi di solito non possono essere legate a eventi economici o politici globali, ma piuttosto a interessi specifici, è solo una questione di speculazione su chi avrebbe potuto sostenere l'operazione", ha detto Arsene. “Ad esempio, nel settore immobiliare, potrebbe essere chiunque provenga da un concorrente diretto in investimenti immobiliari o in servizi legati al settore immobiliare, come l'edilizia, la pubblicità o l'architettura.
Bitdefender ha fatto eco a questo sentimento nel suo white paper, affermando: "La mercificazione degli hacker su commissione a livello APT potrebbe potenzialmente invogliare investitori immobiliari di lusso rivali coinvolti in contratti multimiliardari a cercare questi servizi per spiare la loro concorrenza infiltrarsi nei loro appaltatori. Lo spionaggio industriale non è una novità e, poiché il settore immobiliare è altamente competitivo, con contratti del valore di miliardi di dollari, la posta in gioco è alta per vincere contratti per progetti di lusso e potrebbe giustificare il ricorso a gruppi APT mercenari per ottenere un vantaggio negoziale ".
Bitdefender ha affermato che gli aggressori avevano familiarità con i sistemi di sicurezza e le applicazioni software dell'azienda vittima, consentendo loro di compromettere la rete utilizzando un plug-in trojan per il software di grafica per computer 3ds Max di Autodesk.
Il plug-in, denominato PhysXPluginMfx, è stato progettato per abusare del linguaggio di scripting integrato MAXscript del software (vedere l'avviso di Autodesk qui ) e quindi infettare le vittime con un binario che elenca, comprime e carica un elenco di file specifici e un infostealer che può eseguire lo schermo acquisire e raccogliere i dati della macchina dell'utente.
All'inizio di agosto, Kaspersky ha pubblicato un profilo del DeathStalker (alias Deceptikons), un gruppo accusato di prendere di mira studi legali; organizzazioni del settore finanziario, comprese le PMI; e altri verticali. I ricercatori di Kaspersky affermano che il gruppo svolge attività di spionaggio attraverso tre famiglie di malware Powersing, Evilnum e Janicab ".
Gli attori dietro questo gruppo “non distribuiscono ransomware, non rubano informazioni sui pagamenti per rivenderli o non si impegnano in alcun tipo di attività comunemente associata alla criminalità informatica. Il loro interesse per la raccolta di informazioni aziendali sensibili ci porta a credere che DeathStalker sia un gruppo di mercenari che offre servizi di hacking su commissione o che agisce come una sorta di mediatore di informazioni nei circoli finanziari ", ha riferito Kasperksy.
"Gli strumenti erano indicativi di un piccolo team che preferiva metodi collaudati e veri rispetto all'innovazione, con cicli di sviluppo molto brevi", ha detto a SC Media Ivan Kwiatkowski, ricercatore senior sulla sicurezza presso il Global Research & Analysis Team (GReAT) di Kaspersky. E il targeting "sembrava essere dappertutto, che interpretiamo come dettato da fattori esterni (ad esempio le richieste dei clienti) anziché da una strategia a lungo termine".
Rivelato lo scorso giugno da The Citizen Lab, DarkBasin è stato scoperto a prendere di mira migliaia di individui – inclusi giornalisti e funzionari governativi – e centinaia di istituzioni come gruppi di difesa, fondi speculativi e aziende in più settori. Sembra che il gruppo a un certo punto sia stato assunto per tenere sotto controllo i sostenitori della neutralità della rete e le organizzazioni della causa #ExxonKnew, che sostengono che la compagnia petrolifera abbia nascosto le prove del cambiamento climatico.
I gruppi post Hacker-for-Hire traggono profitto dalla mercificazione delle tattiche APT sono apparsi per primi su SC Media .