Sajber lopovi koji su tradicionalno na nižoj lestvici hakerskih sposobnosti sada imaju pristup zlonamernom softveru nacionalne klase, upozoravaju bliski posmatrači kriminalnog dark weba.
Pojava na kriminalnim forumima alata koji mogu da zaraze firmver za pokretanje računara ili malver koji izbegava antivirusnu detekciju posledica je višegodišnjeg razvoja sajber oružja koje je sponzorisala država, kaže Sergej Ložkin, vodeći istraživač bezbednosti u Kaspersky Global Research and Analysis Team.
“Sajber-kriminalci su naučili od APT-a i izložili javnosti informacije o alatima za špijunažu, i oni usvajaju ove modus operandi u svoje komplete alata kako bi ciljali žrtve u finansijskom sektoru”, rekao je Lozhkin, misleći na napredne uporne prijetnje.
Korisnici koji više vole krađu novca nego otkrivanje tajni možda neće ni morati da razumeju unutrašnjost naprednog sajber oružja, budući da su programeri kriminalnog softvera voljni da to urade umesto njih, rekao je on za nekoliko medija nedavno u kancelariji Kasperksyja u Londonu. Koderi koji stoje iza kriminalističkih aplikacija – klasa zlonamjernog softvera fokusirana uglavnom na krađu novca – porasli su u sofisticiranosti i nude korisnicima gotove alate.
Lozhkin nije želio identificirati nijednu aktivnu kriminalnu grupu, ali je rekao da su darknet forumi puni samoukih hakera koji prodaju ove napredne mogućnosti po dobroj cijeni.
“Najmračniji čas je sada za finansijsku industriju, posebno za velike i srednje korporacije”, upozorio je Lozhkin.
Jedan takav alat je BlackLotus, firmware rootkit koji se koristi za uspostavljanje postojanosti napadom na Unified Extensible Firmware Interface. UEFI je u suštini posrednik koji povezuje računarski hardver sa operativnim sistemom. Radi na nivou logike ispod antivirusne detekcije. Rutkitovi na tom nivou su rijetki i teško ih je otkriti. BlackLotus je nuđen na prodaju za 5.000 dolara na podzemnim forumima ranije ovog mjeseca, rekao je Lozhkin, koji prati kriminalni softver dok se predstavlja kao potencijalni kupac.
Kaspersky nije jedina kompanija za obavještavanje o prijetnjama koja uočava trend. Christopher Budd, viši menadžer istraživanja prijetnji u Sophosu, rekao je za Information Security Media Group da se ovaj fenomen dugo čeka,“Vidimo da se tehnike izbjegavanja usvajaju i koriste u softveru za kriminal,” kaže Budd. “Ovo je očekivani razvoj događaja. Napredni akteri razvijaju nove tehnike i vremenom se one spuštaju kako bi ih ugradili akteri prijetnji fokusirane na kriminal.”
Lozhkin procjenjuje da će akteri kriminalnog softvera uskoro biti izjednačeni sa APT grupama u pogledu sposobnosti i da će vjerovatno biti aktivniji u malveru kao usluzi na podzemnim forumima.
Drugi razlog za skok sofisticiranosti je taj što alate za testiranje penetracije preuzima tamna strana. Uobičajeni primjer za to je Cobalt Strike, alat za ponovno udruživanje koji koriste akteri prijetnji u rasponu od ruskih hakera koje sponzorira država do grupa za ransomware ).
Noviji primjer je Brute Ratel, komplet alata nakon eksploatacije koji je dobar u izbjegavanju otkrivanja i odgovora krajnje točke i antivirusnih alata. Razvio ga je bivši Mandiant i CrowdStrike tester olovaka. Krekovana verzija kruži internetom, ali Lozhkin je rekao da su plaćene verzije prodate u kriminalnom podzemlju za čak 3.000 dolara.
“Ovaj poseban alat se može smatrati sajber oružjem jer može prodrijeti u mreže bilo koje velike organizacije”, dodao je.“Vidio sam ogroman porast u prošloj godini koristeći legalne alate za napad na finansijske institucije,” rekao je Lozhkin. “Cobalt Strike je posvuda. Brute Ratel je posvuda.”