NJUJORK, Tokom nekoliko posljednjih godina, nastavili su da se pojavljuju izvještaji o detaljnim aktivnostima aktera koji stoje iza različitih ciljanih napada ili naprednih dugotrajnih pretnji (APT) .
Symantec Security Response tim, usmjerio je pažnju na grupu za koju vjeruje da je među najboljima u toj vrsti. Dobili su ime Hidden Lynx (Skriveni Ris) – poslije otkrića stringa (niza) u komandnoj liniji i kontroli serverskih komunikacija.
Ova grupa žudi i pokreće ih želja da prevaziđu druge poznate grupe kao što je APT1/Comment Crew.
Ključne karakteristike ove grupe su:
– tehnička snaga
– spretnost
– organizovanost
– savršena snalažljivost
– strpljenje
Ove osobine su pokazali tokom nemilosrdnih kampanja koje su vodili protiv više paralelnih ciljeva tokom dokazanog vremenskog perioda. Oni su pioniri tehnike nazvane “zalivanje rupe” koja se koristi za postavljanje zasjede metama napada, oni imaju rani pristup ranjivostima nultog dana, a takođe posjeduju upornost i strpljenje inteligentnog lovca kako bi izložili opasnosti lanac snabdijevanja i tako došli do pravog cilja.
Ovi napadi na lanac snabdijevanja se sprovode inficiranjem računara već kod dobavljača ciljane mete, a zatim čekaju da zaraženi računari budu postavljeni i da se jave kući, što jasno govori da su ovo „kul“ planirane akcije, a ne impulsivni prepadi amatera.
Ova grupa se ne ograničava samo na nekoliko ciljeva; već je usmjerena na stotine različitih organizacija u raznim regionima svijeta, čak i istovremeno. S obzirom na obim i broj ciljeva i obuhvaćenih regiona, zaključujemo da ova grupa najčešće predstavlja „profesionalne hakere za unajmljeno djelovanje“ koje angažuju klijenti da im obezbjede informacije. Oni kradu na zahtjev, za šta god da su njihovi klijenti zainteresovani, dakle imaju raznovrstan izbor ciljeva.
Takođe, da bi se sproveli napadi ovog obima, grupa mora da ima značajno iskustvo hakera na raspolaganju: možda je 50 do 100 operativaca zaposleno i organizovano u najmanje dva različita tima, čiji zadatak je obavljanje različitih aktivnosti koristeći različite alate i tehnike.
Za ovakve vrste napada su potrebni vrijeme i napor da bi se sproveli, a neke od ovih kampanja su zahtjevale istraživanje i prikupljanje obavještajnih podataka prije nego što bi bilo moguće izvjesti uspješne napade.
Na prvim borbenim linijama ove grupe je ekipa koja koristi alate za jednokratnu upotrebu, zajedno sa osnovnim, ali efikasnim tehnikama kako bi napali mnogo različitih ciljeva.
Oni mogu takođe da djeluju i kao sakupljači obavještajnih podataka. Ovaj tim je nazvan tim Moudoor po imenu „trojanca“ koji oni koriste.
Moudoor je „back door“ trojanac, koji ovaj tim koristi slobodno bez brige da će ga otkriti firme za bezbjednost. Drugi tim djeluje kao specijalna jedinica, elitni kadrovi koji služe za razbijanje najvrijednijih ili najtežih ciljeva.
Elitni tim koristi trojanaca nazvanog Naid pa je stoga nazvan tim Naid. Za razliku od Moudoor-a, Naid trojanac se koristi ograničeno i sa pažnjom da bi se izbjeglo njegovo otkrivanje i hvatanje, kao tajno oružje koje se koristi samo kad neuspjeh ne predstavlja opciju.
Od 2011. primjećeno je najmanje šest značajnih kampanja koje je izvela ove grupa.
Najznačajnija od ovih kampanja je VOHO kampanja u junu 2012. Ono što je posebno interesantno u vezi sa ovim napadom je upotreba tehnike napada nazvane „zalivanje rupe“ i koja kompromituje infrastrukturu potpisa pouzdanih Bit9 datoteka.
VOHO kampanja je imala za krajnju metu podizvođače ministarstva odbrane SAD čiji sistemi su zaštićeni Bit9 softverom zasnovanom na povjerenju, međutim kada je ova prepreka blokirala napredak Hidden Lynx napadača, oni su razmotrili svoje opcije i pronašli da je najbolji način da zaobiđu ovu zaštitu da ugroze srce sistema zaštite i podriju ga za svoje potrebe.
To je upravo ono što su uradili kada su preusmjerili pažnju na Bit9 i prodrli u njihove sisteme. Kada su probili sistem, napadači su brzo našli put do infrastrukture za potpise datoteka koja je bila temelj modela Bit9 zaštite, onda su iskoristili ovaj sistem da potpišu niz zlonamjernih datoteka i tako su one iskorišćene da bi ugrozile bezbjednost planiranih ciljeva.
Za one koji su zainteresovani za detaljnije informacije, postoji i Bela knjiga koja opisuje grupu i kampanje napada koje su sproveli, prenose agencije.