Strona główna

Złote lata sojuszu brazylijskiego i rosyjskiego cyberpodziemia

Rosyjscy i brazylijscy cyberprzestępcy mimo barier językowych i różnic czasowych utrzymują bliskie relacje. Ich wspólne działania napędzają ewolucję szkodliwych narzędzi wykorzystywanych w atakach na całym świecie.

Brazylijskie i rosyjskie podziemie cyberprzestępcze należą do najbardziej spektakularnych rynków dla badaczy cyberbezpieczeństwa ze względu na względną otwartość, wysoki poziom aktywności i dużą liczbę forów internetowych wykorzystywanych przez przestępców do wzajemnej komunikacji. W przeszłości oba rynki rozwijały się niezależnie od siebie, tworząc odrębne techniki cyberataków, które były dostosowane do warunków lokalnych (np. szkodliwe oprogramowanie "Boletos" w Brazylii czy programy atakujące usługi bankowości mobilnej w Rosji). Jednak dochodzenie przeprowadzone niedawno przez badaczy z Kaspersky Lab pokazuje, że brazylijscy i rosyjskojęzyczni przestępcy rozwinęli w ostatnich latach system współpracy. Brazylijczycy wyszukują próbki na rosyjskich forach przestępczych, kupując nowe oprogramowanie i szkodliwe programy lub oferując swoje usługi. Jest to handel dwukierunkowy, a wymiana handlowa przyspiesza ewolucję szkodliwego oprogramowania.

Dowody takiej współpracy odkryto na jednym forów przestępczych, odwiedzanych przez rosyjskojęzycznych użytkowników. Pod jednym z wątków użytkownik o nazwie Doisti74 wyraził zainteresowanie kupnem brazylijskich "loaderów", które w żargonie cyberprzestępczym oznaczają udane instalacje szkodliwego oprogramowania na zaatakowanych komputerach zlokalizowanych w Brazylii.

Badacze z Kaspersky Lab zauważyli użytkownika o tej samej nazwie na scenie brazylijskiego podziemia, gdzie jest on znany jako aktywny użytkownik forów i został zidentyfikowany jako osoba, która rozprzestrzenia oprogramowanie ransomware atakujące użytkowników Internetu z Brazylii.

Inny przypadek pokazuje, jak przestępcy współdzielą szkodliwą infrastrukturę. Kilka miesięcy po tym, jak rodzina rosyjskich trojanów bankowych (Crishi) zaczęła wykorzystywać algorytm generujący domeny w odpornej na ataki organizacji hostingowej na Ukrainie, brazylijscy przestępcy również zaczęli eksploatować tę infrastrukturę. Gdyby nie pewien rodzaj współpracy między osobami odpowiedzialnymi za ataki w Brazylii i twórcami algorytmu generowania domen, analitykom zagrożeń i organom ścigania byłoby łatwiej zidentyfikować serwery kontroli.

Cyberprzestępcy również pożyczają od siebie nawzajem szkodliwe techniki. I tak np. przynajmniej od 2011 r. brazylijscy przestępcy aktywnie wykorzystują PAC - przestarzałą technologię, która nadal jest obsługiwana przez wiele przeglądarek - w celu przekierowywania ofiar na fałszywe strony bankowe. Niecały rok minął od czasu, gdy badacze z Kaspersky Lab odkryli, że ta sama technika jest wykorzystywana w szkodniku Capper - kolejnym trojanie bankowym atakującym rosyjskie banki, stworzonym najprawdopodobniej przez rosyjskojęzycznych przestępców.

- Jeszcze kilka lat temu brazylijskie szkodliwe oprogramowanie bankowe było nieskomplikowane i łatwe do wykrycia. Z czasem jednak cyberprzestępcy zaczęli stosować różne techniki w celu uniknięcia wykrycia, w tym zaciemnianie kodu czy uzyskiwanie uprawnień administratora, przez co szkodliwe oprogramowanie stało się bardziej wyrafinowane i trudniejsze do zwalczania. Stało się tak w wyniku wykorzystania szkodliwych technologii opracowanych przez rosyjskich cyberprzestępców. Co więcej, współpraca ta działa w obu kierunkach - mówi Thiago Marques, badacz ds. bezpieczeństwa IT w Kaspersky Lab.

Komentarze