Европейские хакеры работают малыми группами
Хакерское сообщество стран Восточной Европы и СНГ, а также в меньшей степени Азии — это основные генераторы атак на сложные промышленные систем. «Хотя хакеры из Восточной Азии доминируют в сегодняшних новостных заголовках, связанных с кибербезопасностью и организацией ATP-атак (advanced persistent threats), было бы ошибкой полагать, что именно они играют значительную роль в криминальной киберугрозе для современного интернета», — говорит вице-президент антивирусной компании Trend Micro Том Келлерманн.
По его словам, эти две больших группы хакеров имеют разные режимы и способы работы. Восточноевропейские хакеры обычно работают в небольших группах и пишут специализированный вредоносный код под каждую атаку. Сам по себе написанный код довольно компактен, имеет высокую степень автоматизации и применяется всегда только после заранее проведенной обширной кампании по разведке.
В отличие от этого, восточноазиатские хакеры тяготеют к использованию готовых наборов вредоносного программного обеспечения, эксплуатирующих те или иные уязвимости в общеизвестном программном обеспечении. Попав внутрь целевой системы, хакеры пытаются выкрасть как можно больше информации и подключить к атаке как можно больше ресурсов, экспортируя все похищенные данные оптом обратно на свои ресурсы. Такой стиль обратен стилю восточноевропейцев и практически не оставляет шансов остаться незамеченными после атаки.
В Trend Micro говорят, что разница атакующих стилей заключается в степени развитости рынка вредоносного программного обеспечения. Восточная Европа — это один из самых старых рынков вредоносного софта, который начал коммерциализироваться еще в 90е годы, после того, как многие программисты на постсовестском пространстве остались без работы и уезжали из стран, либо уходили в хакерско-коммерческое подполье. Этот рынок остается коммерциализированным уже более 15 лет.
Это также находит отражение и в их коде. Большинство хакеров в восточноевропейском регионе начали работу с устаревшего оборудования, из-за чего выработали привычку к написанию очень компактного и быстрого кода, который максимизирует эффективность, не требуя больших ресурсов. Сторонние инструменты здесь также редкость.
«Сейчас все больше говорят о таком классе вредоносов, как кибероружие. По нашим данным, большинство подобных кодов пишутся с нуля именно здесь», — говорит Келлерманн. «Если азиатский и восточноевропейские хакерские рынки сравнить с оружием, то азиатский рынок — это пулемет, старающийся уничтожить все на своем пути, а восточно-европейский — снайперская винтовка с лазерным прицелом для одного, но очень точного выстрела в цель».
При этом, в Trend Micro говорят, что они не склонны измерять все рынки по одному шаблону. На азиатском рынке также есть высообразованные и опытные хакеры, которые используют похожие на европейскую техники. Хотя в целом на сегодняшний день азиатский рынок — это рынок готовых купленных решений или же решений, который были созданы на основе какой-то базы с добавлением некоторой кастомизации. «В целом, можно сказать, что азиатский рынок вредоносного ПО менее элегантный и более массовый. Здесь в ход идет все, что может в принципе использоваться», — говорит вице-президент Trend Micro.
В антивирусной компании рассказали, что различия в подходах также обусловлены и разными мотивами атак. Если европейцами в первую очередь движет личная финансовая нажива, то азиатские хакеры в первую очередь охотятся за корпоративными данными и занимаются промышленным шпионажем. «Большая часть хакерских инцидентов, ведущих в Азию, не связаны напрямую с деньгами, они направлены на прямую кражу данных в интересах заказчиков или кражу этих же данных, чтобы потом их перепродать потенциальным получателям», — рассказал Келлерманн.
«Азиатская тактика со стратегической точки зрения имеет больше преимуществ, но до тех пор, пока у хакеров есть надежный государственный покровитель или государственный заказчик. В отличие от этого, европейские хакеры работают малыми группами и не имеют высокопоставленных покровителей. Выйти на контакт с восточноевропейскими хакерами непросто, они стараются не афишироваться и наладить с ними контакт в большинстве случаев можно только через личного связующего знакомого», — говорит он.