Grupa cybernajemników odpowiada za globalną kampanię cyberszpiegowską, której cele znajdowały się między innymi w Azji, obu Amerykach, Afryce oraz Europie. Wykryty przez specjalistów adres IP pokrywa się z tym, który zidentyfikowano podczas wcześniejszej operacji prowadzonej przez hakerów rosyjskiego wywiadu GRU. Dokąd prowadzą ślady wykrytej kampanii?
W ciągu ostatnich sześciu miesięcy zespół specjalistów BlackBerry Research and Intelligence monitorował kampanię szpiegowską, której celem były ofiary z całego świata. Operacja została nazwana „Costa Ricto” i prowadzona jest przez cybernajemników. Posiadają oni spersonalizowane narzędzia hakerskie – wynika z raportu „The CostaRicto Campaign: Cyber-Espionage Outsourced”, opracowanego przez BlackBerry.
Z założenia cybernajemnicy świadczą usługi na rzecz każdej osoby, która zapłaci za ich działalność. Jednak najbardziej wyrafinowane grupy decydują się na współpracę wyłącznie z podmiotami „o najwyższym znaczeniu”. Najczęściej są to duże organizacje, wpływowe osoby lub rządy. Jak wskazują specjaliści, ze względu na ryzyko prowadzonej działalności hakerzy zwykle starannie wybierają zlecenia, aby osiągnąć maksymalny zysk przy minimalizacji możliwości ujawnienia ich działalności.
Analiza kampanii „Costa Ricto” pokazała, że cele cybernajemników są rozproszone w różnych krajach w Europie, obu Amerykach, Azji, Australii i Afryce. Największa liczba ofiar występuje jednak w Azji Południowej, co sugeruje, że hakerzy mogą mieć siedzibę w tej części świata. Wśród państw szczególnie dotkniętych wskazano na: Indie, Bangladesz, Singapur, Chiny, Bahamy, Australię, Mozambik, Francję, Holandię, Austrię, Portugalię oraz Czechy.
Profile ofiar są zróżnicowane i obejmują kilka sektorów, z których dużą część stanowią instytucje finansowe
Podczas kampanii cybernajemnicy wykorzystują nieznany do tej pory backdoor „Sombra” (nazwa nawiązuje do postaci z gry Overwatch – agenta specjalizującego się w szpiegostwie), który stanowi nowy rodzaj nigdy wcześniej nie zaobserwowanego złośliwego oprogramowania. Specjaliści obecnie nie potrafią określić czy jest to narzędzie, jakie hakerom udało się stworzyć samodzielnie od podstaw czy też uzyskali do niego dostęp w inny sposób.
Przeprowadzenie analizy sygnatur wykazało, że początki kampanii mogą sięgać 2017 roku. Podczas operacji cybernajemnicy wykorzystywali sfałszowane witryny legalnych domen, takich jak strona State Bank of India Bangladesh. Stworzona infrastruktura służyła hakerom do atakowania różnych celów, które nie były ze sobą w żaden sposób powiązane.
Ciągły rozwój, szczegółowy system i dobrze zorganizowany kod, który pozwala na łatwe rozszerzanie funkcjonalności - wszystko to sugeruje, że zestaw narzędzi jest częścią długoterminowego projektu, a nie jednorazowej kampanii
Po uzyskaniu dostępu do sieci ofiary (prawdopodobnie przy użyciu skradzionych danych uwierzytelniających, uzyskanych w wyniku phishingu lub kupionych w darknecie), cybernajemnicy przejmowali kontrolę nad jej urządzeniem. W ten sposób między innymi przekierowywali ruch na zainfekowane witryny i/lub zewnętrzne serwery.
Co ciekawe, jeden z identyfikowanych adresów IP zaobserwowanych podczas kampanii pokrywa się z adresem wykrytym podczas operacji prowadzonej przez hakerów rosyjskiego wywiadu GRU – „Fancy Bear” (APT28).
Specjaliści BlackBerry wskazali jednak, że bezpośredni związek między kampanią Costa Ricto a APT28 jest mało prawdopodobny. Ich zdaniem może się zdarzyć tak, że nakładanie się adresów IP jest przypadkowe.
Outsourcing ataków lub niektórych elementów wrogich operacji (…) ma kilka zalet - oszczędza czas i zasoby oraz upraszcza procedury, ale co najważniejsze zapewnia dodatkową warstwę, która pomaga chronić prawdziwą tożsamość aktora.
Eksperci firmy BlackBerry w przeszłości zidentyfikowali inną grupę cybernajemników, którzy prowadzili operacje w skali globalnej. Mowa o „Bahamut”, czyli hakerach do wynajęcia, pochodzących z różnych państw. Specjalizowali się w dezinformacji. Jednak rozpowszechnianie fake newsów, zamieszczanie zainfekowanych aplikacji w Google Play oraz App Store czy serie cyberataków to jedynie część działalności, jaką prowadziło ugrupowanie.
Działalność cybernajemników staje się coraz popularniejsza. Z czasem zyskuje miano „przydatnej” usługi w rękach wrogich aktorów, branżowych konkurentów czy rządów (najczęściej autorytarnych). Przykładem mogą być irańscy hakerzy grupy „Pionier Kitten”, która rozpoczęła działalność co najmniej w 2017 roku i wykazuje silny związek z władzą w Teheranie. Cyberprzestepcy skupiają się przede wszystkim na uzyskaniu, a następnie utrzymaniu dostępu do sieci i systemów podmiotów, mających istotne znaczenie z punktu widzenia interesów Iranu.
Analiza działalności grupy wskazuje, że Pionier Kitten realizuje jedynie zadania na zlecenie irańskiego rządu, a nie znajduje się bezpośrednio pod jego kontrolą. W związku z tym jej hakerzy zostali nazwani cybernajemnikami.
W tym miejscu warto podkreślić również, że hakerzy do wynajęcia są także opłacani przez branżowych konkurentów w celu na przykład pozyskania poufnych danych rynkowego rywala, aby w ten sposób uzyskać nad nim przewagę.