Τα τελευταία χρόνια οι εκθέσεις συνεχίζουν να προβάλλουν λεπτομέρειες των δραστών πίσω από τις στοχευμένες επιθέσεις ή ΑΡΤ. Στο τμήμα Symantec Security Response, έχουμε εστιάσει σε ένα γκρουπ που πιστεύουμε ότι είναι το κορυφαίο αυτής της κατηγορίας. Το έχουμε ονομάσει Hidden Lynx – μετά από μία ακολουθία στοιχείων που βρέθηκε στα πληροφοριακά συστήματα διοίκησης και ελέγχου. Αυτή η ομάδα έχει συγκεκριμένο στόχο και μηχανισμό που υποσκελίζει άλλα γνωστά γκρουπ όπως τα APT1/Comment Crew. Βασικά χαρακτηριστικά αυτού του γκρουπ είναι τα:
- Τεχνική ικανότητα
- Ευελιξία
- Οργάνωση
- Εφευρετικότητα
- Υπομονή
Αυτές οι ιδιότητες έγιναν γνωστές από τις ατελείωτες καμπάνιες που διενεργήθηκαν ενάντια σε πολλαπλού στόχους ταυτόχρονα σε μία σταθερή περίοδο χρόνου. Αυτοί είναι οι πρωτοπόροι της τεχνικής “watering hole” που χρησιμοποιήθηκε για να στηθούν ενέδρες σε στόχους, αυτοί έχουν πρώτοι πρόσβαση σε zero-day ευπάθειες και έχουν την ανθεκτικότητα και την υπομονή ενός έξυπνου κυνηγού για να εκθέσουν σε κίνδυνο το supply chain με απώτερο στόχο να πλήξουν μία μεγαλύτερη επιχείρηση. Αυτές οι επιθέσεις τίθενται σε εφαρμογή από μολυσμένους υπολογιστές ενός προμηθευτή του στόχου που επιδιώκουν και έπειτα αναμένουν την εγκατάσταση αυτών των υπολογιστών. Πρόκειται για καλά υπολογισμένες δράσεις παρά για αυθόρμητες ενέργειες ερασιτεχνών.
Αυτό το γκρουπ δεν περιορίζεται σε ένα μικρό αριθμό στόχων. ΑντΆ αυτού στοχεύει εκατοντάδες οργανισμούς διαφορετικού μεγέθους σε πολλές διαφορετικές χώρες, ακόμη και κατά την ίδια χρονική περίοδο. Υπολογίζοντας το εύρος και τον αριθμό των στόχων και τις χώρες που εμπλέκονται, συμπεραίνουμε ότι αυτό το γκρουπ πρέπει να είναι επαγγελματίες hacker προς ενοικίαση που λειτουργούν με συμβάσεις πελατών τους για παροχή πληροφοριών. Υποκλέπτουν κατΆ απαίτηση ότι ενδιαφέρει τους πελάτες τους, έτσι εξηγείται η μεγάλη ποικιλία και φάσμα στόχων.
Πιστεύουμε επίσης ότι για την υλοποίηση επιθέσεων αυτού του μεγέθους, αυτό το γκρουπ πρέπει να διαθέτει αξιόλογη τεχνογνωσία στο hacking , ίσως 50 έως 100 ενεργοί μέλη που απασχολούνται και οργανώνονται σε τουλάχιστον δύο απομακρυσμένες ομάδες που έχουν ως καθήκον να διενεργούν διαφορετικές δραστηριότητες χρησιμοποιώντας μία σειρά από εργαλεία και τεχνικές. Αυτού του είδους οι επιθέσεις απαιτούν χρόνο και προσπάθεια για την υλοποίησή τους, ενώ ορισμένες από τις καμπάνιες απαιτούν έρευνα και ενδελεχή πληροφόρηση που συγκεντρώνεται πριν στοιχειοθετηθούν οι επιθέσεις.
Στην πρώτη γραμμή αυτού του γκρουπ είναι μία ομάδα που χρησιμοποιεί διαθέσιμα εργαλεία μαζί με βασικές αλλά αποτελεσματικές τεχνικές για να επιτεθούν σε πολλούς διαφορετικούς στόχους. Μπορεί επίσης να δρουν ως συλλέκτες πληροφοριών. Αυτήν την ομάδα την έχουν ονομάσει Moudoor από το όνομα του Trojan που χρησιμοποιούν. Το Moudoor είναι ένα back door Trojan που χρησιμοποιεί η ομάδα ελεύθερα, χωρίς να ανησυχεί ότι θα την ανακαλύψουν οι εταιρείες παροχής ασφαλείας. Η άλλη ομάδα δρα ως μία ειδική μονάδα λειτουργίας, με στελέχη που χρησιμοποιεί για να εμπλακούν με τους πιο πολύτιμους ή πιο ανθεκτικούς στόχους. Η ομάδα χρησιμοποιεί το Trojan με την ονομασία Naid, και για τον λόγο αυτό αναφερόμαστε στην ομάδα Naid. Σε αντίθεση με τον Moudoor, το Naid Trojan χρησιμοποιείται με φειδώ, για να αποφευχθεί ο εντοπισμός και η σύλληψη, σαν ένα μυστικό όπλο που χρησιμοποιείται μόνο όταν η αστοχία δεν αποτελεί επιλογή.
Από το 2011, έχουμε εντοπίσει τουλάχιστον έξι σημαντικές δραστηριότητες από αυτό το γκρουπ. Η πιο αξιοσημείωτη από αυτές είναι η VOHO τον Ιούνιο του 2012. Αυτό που είχε ιδιαίτερο ενδιαφέρον σε αυτή την επίθεση ήταν η χρήση της τεχνικής επίθεσης watering hole και η παραβίαση της Bit9 υποδομής. Η επίθεση VOHO είχε ως τελικό στόχο τους εργολάβους/συνεργάτες του Υπουργείου ¶μυνας των ΗΠΑ, των οποίων τα συστήματα προστατεύονταν από το λογισμικό Bit9, αλλά όταν οι επιτιθέμενοι του Hidden Lynx υπερπήδησαν αυτό το εμπόδιο και ανακάλυψαν ότι ο καλύτερος τρόπος για την εισχώρηση τους στο σύστημα ήταν η παραβίαση του ίδιου συστήματος προστασίας το οποίο εκείνοι έπειτα υπονομεύσαν για δικούς τους σκοπούς. Μετά την παραβίαση, οι επιτιθέμενοι ανακάλυψαν γρήγορα τον τρόπο να εισχωρήσουν στην υποδομή file signing, η οποία ήταν η βάση προστασίας του Bit9, έπειτα έκαναν χρήση του συστήματος για να υπογράψουν ηλεκτρονικά έναν αριθμό αρχείων malware, τα οποία στη συνέχεια χρησιμοποιούσαν για να παραβιάσουν τους πραγματικούς στόχους.