Kā sadarbojas kibernoziedznieki no dažādām valstīm, lai uzlabotu uzbrukuma spējas?

© F64

Kaspersky Lab pētnieku padziļināta izmeklēšana brazīliešu un krievvalodīgo pagrīdes forumos ir atklājusi, ka kibernoziedznieki pretējās pasaules pusēs ir pārvarējuši laika joslu atšķirības un valodas barjeras, lai veicinātu ciešu sadarbību, kas nodrošina uzbrukumos izmantoto ļaunrīku strauju attīstību.

Brazīlijas un Krievijas kibernoziedzīgā pagrīde ir divi redzamākie tirgi drošības pētījumiem, jo tie ir samērā atklāti, ļoti aktīvi un aptver lielu skaitu tiešsaistes forumu, ko noziedznieki izmanto savstarpējai saziņai. Vēsturiski abi tirgi ir attīstījušies neatkarīgi viens no otra, izstrādājot atšķirīgus kiberuzbrukumu paņēmienus, kas ir pielāgoti vietējiem apstākļiem (piemēram, pret Boleto vērstās ļaunprogrammatūras Brazīlijā vai pret mobilajiem banku pakalpojumiem vērstās ļaunprogrammatūras Krievijā). Tomēr Kaspersky Lab pētnieku izmeklēšana liecina, ka pēdējos gados Brazīlijas un krievvalodīgie kibernoziedznieki ir izveidojuši sadarbības sistēmu. Brazīlijas noziedznieki Krievijas pagrīdes forumos meklē paraugus, pērkot jaunu kriminālprogrammatūru un bankas automātu vai pārdošanas punktu ļaunprogrammatūru vai piedāvājot savus pakalpojumus. Turklāt šī tirdzniecība ir abpusēja, un sadarbība palīdz paātrināt ļaunprogrammatūru attīstību.

Piemēri no dzīves

Sadarbības pazīmes tika novērotas kādā pagrīdes forumā, ko bieži apmeklē krievvalodīgie lietotāji. Kādā tematā lietotājs vārdā Doisti74 pauda vēlmi iegādāties Brazīlijas ielādes, kas kibernoziedznieku žargonā nozīmē sekmīgas ļaunprogrammatūras instalācijas upuru datoros, kas atrodas Brazīlijā.

Kibernoziedznieks no Brazīlijas, TorLocker vīrusa autors, atrunā sadarbības nosacījumus krievvalodīgajā pagrīdes forumā

Kaspersky Lab pētnieki ievēroja lietotāju ar tādu pašu vārdu Brazīlijas pagrīdes arēnā, kur viņš ir pazīstams kā aktīvs forumu lietotājs un ir identificēts kā lietotājs, kas izplata pret lietotājiem Brazīlijā vērstu izspiedējvīrusu.

Cits gadījums parāda, kā noziedznieki kopīgi lieto ļauninfrastruktūru. Dažus mēnešus pēc tam, kad par Krievijai piederīgu uzskatītā banku Trojas zirgu ģimene (Crishi) sāka izmantot algoritmu, kas ģenerē domēnus pret ļaunprātīgu izmantošanu noturīgā mitināšanas pakalpojumā Ukrainā, Brazīlijas noziedznieki, kas ir atbildīgi par bēdīgi slavenajām pret Boleto vērsto ļaunprogrammatūru kampaņām, arī sāka izmantot šo infrastruktūru. Bez kaut kāda veida sadarbības starp Boleto afēras dalībniekiem un domēnu ģenerēšanas algoritma izstrādātājiem nebūtu bijis iespējams apgrūtināt pētniekiem un tiesībaizsardzības iestādēm komandvadības serveru identificēšanu.

Turklāt kibernoziedznieki cits no cita aizņemas ļauntehnoloģijas. Piemēram, vismaz kopš 2011. gada noziedznieki Brazīlijā aktīvi ļaunprātīgi izmanto PAC - novecojušu tehnoloģiju, ko joprojām atbalsta daži pārlūki -, lai novirzītu upurus uz viltotām banku lapām. Ne gads nepagāja, kad Kaspersky Lab pētnieki konstatēja, ka šī pati tehnoloģija tiek izmantota Capper - vēl vienā banku Trojas zirgā, kas ir vērsts pret Krievijas bankām un ko, visticamāk, ir izstrādājuši krievvalodīgi noziedznieki.

Šie ir tikai daži no daudzajiem Brazīlijas un krievvalodīgo kibernoziedznieku sadarbības piemēriem, ko Kaspersky Lab pētnieki ir novērojuši pēdējos gados.

"Vēl pirms dažiem gadiem Brazīlijas banku ļaunprogrammatūras bija ļoti vienkāršas un viegli atklājamas. Tomēr laika gaitā ļaunprogrammatūru autori ir apguvuši vairākus paņēmienus, lai izvairītos no atklāšanas, tostarp koda jaukšanu, saknes un pirmspalaišanas funkcijas un tā tālāk, padarot savas ļaunprogrammatūras daudz sarežģītākas un grūtāk apkarojamas. To nodrošina krievvalodīgo noziedznieku izstrādātās ļauntehnoloģijas. Un šī sadarbība ir abpusēja," sacīja Kaspersky Lab drošības pētnieks Tjagu Markešs.

"Kaspersky Lab pieredzei Krievijas un Latīņamerikas kiberpagrīdes izsekošanā un apkarošanā nav līdzīgas. Mūsu eksperti atklāj jaunas ļaunprātīgās tendences sen pirms tam, kad tās kļūst plaši izplatītas, un mēs izmantojam šīs zināšanas, lai cīnītos pret vietējo kibernoziegumu izplatīšanos visā pasaulē. Mēs domājam, ka vislabākais veids, kā cīnīties ar šāda veida starptautiskajiem apdraudējumiem, ir veikt šo darbību starptautisku izmeklēšanu. Tāpat kā kibernoziegumiem nav robežu, tādām nav jābūt arī izmeklēšanai."