Небезупречные: киберпреступники тоже ошибаются

APT-кампании, пандемии криптолокеров и разгул банковских троянов — все это создает кучу проблем как для бизнеса, так и для конечных пользователей, особенно когда видишь «полную картину», — количество заражений, уровень активности разных вредоносных программ и/или APT-кампаний. Но в этой картине присутствует еще одна важная деталь. Какими бы опытными, продуманными и находчивыми ни были авторы вредоносных программ, они все равно совершают ошибки. Порой даже комичные.

Небезупречные: киберпреступники тоже ошибаются #бизнесбезугроз

Tweet

Идеальных преступлений не бывает

В середине февраля, во время Саммита по безопасности «Лаборатории Касперского» в Канкуне, Крис Макконки из PricewaterhouseCoopers говорил конкретно об ошибках, которые допускают злоумышленники. Они пускаются во все тяжкие, чтобы сбить экспертов со следа, но, как и в «оффлайновом» преступном мире, они совершают ошибки и оставляют особые улики, что выставляет их в слегка глупом свете, а специалистов по киберкриминалистике только радует.

Бесплатный интернет; почему бы не воспользоваться?

Например, члены пресловутой АРТ-группы Comment Crew (APT1), деятельность которой наиболее хорошо задокументирована и привязана к военной части 61398 Народно-освободительной армии КНР, демонстрировали высочайший уровень профессионализма, но всё равно были раскрыты. Исследователи Mandiant смогли определить местонахождение их оперативного штаба, вредоносных ресурсов и намеченных ими целей. Как? Одной из западней стало использование инфраструктуры жертвы для получения доступа к личным аккаунтам злоумышленников в социальных медиа.

Да, они использовали интернет-доступ своих жертв для входа в свои учетные записи в соцсетях.

«Это был просто подарок и очевидный результат политики их правительства, — сказал Макконки. — Ограниченный доступ в сеть сделал для них беспрепятственный интернет еще привлекательнее».

Люблю свой ник

Операторы APT1, похоже, были «влюблены» в свои онлайновые псевдонимы. Например, один из членов группы по прозвищу UglyGorilla оставлял свою кличку во всех вредоносных программах, командах инъекций на веб-сайтах и т.п.

Похожая история произошла, когда Crowdstrike разоблачила банду PutterPand в 2014 году. Они использовали личные адреса для регистрации изначальных доменов командования и управления, а одно из прозвищ – cpyy — использовалось на протяжении всей кампании. Исследователи смогли, в конце концов, привязать его к учетной записи Picasa, которая была набита фотографиями хакера с этим ником, фотографиями офиса подразделения 61398 и другими данными, имеющими отношение к расследованию. Спасибо, cpyy!

Мы Мокрые бандиты!

Помните фильм «Один дома», классику 1990 года? В ходе ареста два грабителя объявляют себя Мокрыми бандитами, так как они затопляли каждый дом, который грабили. Офицер на это с большим удовлетворением отвечает, что теперь полиции известны все места их преступлений.

Нечто подобное имело место и здесь. Хотя все эти APT-группы извлекли урок и попрятали подсказки с глаз долой.

Недавно раскрытая APT The Equation тоже, оказалось, грешит такими ошибками. По данным Костина Райю из «Лаборатории Касперского», один из членов группы The Equation случайно оставил использованный на компьютере логин в коде одного из модулей. Это очень пригодилось.

Криптоошибки

Одной из самых серьёзных проблем кибербезопасности сегодня являются шифрующие программы-вымогатели, которые часто идут под общим названием «криптолокеры», но они тоже подвержены ошибкам.

Притом что они могут использовать очень сильное шифрование, ошибки и недостатки в коде делают их доступными для расшифровки сторонними антивирусными утилитами. Однако без подобных ошибок взлом криптографирования почти невозможен. 2048-битный ключ RSA, который используется самыми последними штаммами криптолокеров, эффективно сводит на нет любые попытки взлома грубой силой. Единственный шанс на удачу заключается в перехвате инфраструктуры злоумышленников, как это было в случае с ботнетом GameOver ZeuS. Однако теперь преступники, управляющие такими вымогателями, всё чаще используют Tor для сохранения анонимности и скрытия своих контрольных серверов.

Подробнее о вымогателях читайте здесь.

Errare humanum est

Древняя латинская пословица остается верной и для любого вида программного обеспечения. Из-за ошибок в коде легального ПО большинство вредоносных программ эффективны, но и совершаемые людьми ошибки вроде открытия вредоносных вложений в электронной почте немало способствуют этому. Ирония в том, что огрехи кодирования и человеческие поведенческие ошибки, допущенные членами АРТ-групп и вирусописателями, делают их уязвимыми для антивирусных специалистов и экспертов по кибербезопасности.