פשע שיתופי: עברייני סייבר במדינות שונות משתפים פעולה לשיפור יכולות התקיפה
מאת: מערכת Telecom News, 31.3.16, 15:44
עברייני סייבר ב-2 צידי הגלובוס גוברים על פערי זמן ושפה כדי לייצר שיתוף פעולה הדוק המניע אבולוציה מהירה בהתקפות קוד זדוני.
חקירת עומק, שביצעו חוקרי מעבדת קספרסקי בפורומים של העולם התחתון ברוסיה וברזיל, חשפה, שברוסיה ובברזיל נמצאים 2 השווקים הגלויים ביותר של עולם פשיעת הסייבר, הודות לפתיחות היחסית שלהם, רמת הפעילות הגבוהה, והמספר הגדול של פורומים מקוונים המשמשים עבריינים כדי לתקשר האחד עם השני. באופן היסטורי, 2 השווקים התפתחו באופן עצמאי ויצרו טכניקות נפרדות להתקפות סייבר, שנבנו בהתאם לתנאים המקומיים (לדוגמא, הקוד הזדוני הברזילאי
Boleto, והקוד הזדוני לשירותי בנקאות ניידים ברוסיה).
עם זאת, מחקר של החברה מראה, שעבריינים ברזילאיים ורוסים יצרו בשנים האחרונות תשתית של שיתוף פעולה הדדי. עבריינים ברזילאים מחפשים דוגמיות בפורומים ברוסיה, קונים כלי פשיעה חדשים וקוד זדוני לקופות וכספומטים, או מציעים את שירותיהם. המסחר הזה פועל ב-2 הכיוונים, כששיתוף הפעולה מסייע להאיץ את האבולוציה של הקוד הזדוני.
דוגמאות מהעולם האמיתי
סימנים לשיתוף פעולה זה נצפו באחד מהפורומים של העולם התחתון, שמבקרים בו בדרך כלל דוברי רוסית. באחד מהדיונים ציין משתמש בשם
Doisti74, שיש לו עניין ברכישת "מטענים" ברזילאיים, שבשפת עברייני הסייבר המשמעות היא התקנות מוצלחות של קוד זדוני על מחשבים הממוקמים בברזיל.
חוקרי מעבדת קספרסקי הבחינו במשתמש באותו השם בסצנה הברזילאית, שם הוא ידוע כמשתמש פעיל בפורומים ושזוהה כמשתמש, שמפיץ כלי כופר המכוון נגד משתמשים ברזילאיים.
מקרה אחר מראה כיצד העבריינים משתפים תשתית זדונית. מספר חודשים לאחר שמשפחת טרויאנים רוסית לבנקאות (
Crishi) החלה להשתמש באלגוריתם המייצר דומיינים בשירות אירוח מוגן באוקראינה, עבריינים ברזילאיים העומדים מאחורי הקוד הזדוני
Boleto החלו גם הם לעשות שימוש בתשתית. ללא סוג מסוים של שיתוף פעולה בין הגורמים, שמאחורי
Boleto והגורמים שמאחורי האלגוריתם מייצר הדומיינים, היה קשה מאוד לחוקרים וגופי אכיפת חוק לזהות את שרתי הפיקוד והשליטה.
עברייני סייבר גם מלווים טכנולוגיות קוד זדוני האחד מהשני. לדוגמא, מאז 2011 לפחות, עבריינים בברזיל פגעו ב-
PACs – טכנולוגיה מיושנת, אבל אחת, שעדיין תומכת בדפדנים מסוימים – כדי להפנות קורבנות לעמודי בנק מזויפים. פחות משנה עברה עד שחוקרי החברה זיהו את אותן טכניקות בשימוש
Capper – טרויאני נוסף לבנקאות, שכוון נגד בנקים רוסים וכנראה נוצר ע"י עבריינים דוברי רוסית.
אלו הן רק חלק מהדוגמאות הרבות של שיתוף פעולה בין עברייני סייבר רוסים וברזילאיים, שזוהו בשנים האחרונות ע"י חוקרי החברה.
תיאגו מרקז, חוקר אבטחה במעבדת קספרסקי: "רק לפני מספר שנים, קוד זדוני לבנקאות בברזיל היה בסיסי מאוד וקל לאיתור. עם הזמן, כותבי הקוד הזדוני אימצו מספר טכניקות להימנעות מזיהוי, כולל הסוואת קוד, יכולות
root ו-
bootkit ועוד, כשהם הופכים את הקוד שלהם למתוחכם יותר וקשה לעצירה. זאת, הודות לטכנולוגיות קוד זדוני, שפותחו ע"י עבריינים דוברי רוסית. שיתוף פעולה זה עובד ב-2 הכיוונים.
הניסיון שלנו במעקב ולחימה בעולם התחתון של הסייבר ברוסיה ואמריקה הלטינית הוא חסר תקדים. המומחים שלנו מזהים מגמות זדוניות בצמיחה הרבה לפני שהן הופכות לנפוצות, ואנו ממנפים את הידע הזה כדי להילחם בהפצה של פשיעת סייבר מקומית לכל העולם.
אנו חושבים, שהדרך הטובה ביותר לטפל בסוג זה של איום בינלאומי היא לערוך חקירה בינלאומית של פעילויות אלו. בדיוק כפי שלפשיעת הסייבר אין גבולות, כך צריך להיות גם מודול הפעולה של כל חקירה".