Tirdami kenkėjišką platformą „EquationDrug“, naudojamą pagarsėjusiose „Equation Group“ atakose, „Kaspersky Lab“ specialistai nustatė naujų ypatumų, kuriais valstybių remiamos kibernetinio šnipinėjimo kampanijos skiriasi nuo paprastų kibernetinių nusikaltimų. Valstybės institucijų remiamos atakos tampa vis sudėtingesnės: organizatoriai ne tik kruopščiai atsirenka aukas, bet ir siekia didinti taikomos platformos programinius komponentus ir taip ilgiau slėptis užkrėstoje sistemoje. Tokiu būdu atakuojantieji netrukdomi gali daugelį metų vykdyti kibernetinio šnipinėjimo operacijas.
Atakų platformose įdiegti moduliai leidžia taikyti platų kenkėjiškų instrumentų spektrą ir net parinkti tinkamiausią virusų rinkinį pagal konkrečios aukos ypatumus ir turimą informaciją. Remiantis „Kaspersky Lab“ vertinimais, platformoje „EquationDrug“ įdiegta 116 įvairių programinių modulių.
Be to, valstybių remiamos kampanijos nuo kitų atakų skiriasi mastu. Kaip žinome, kibernetiniai nusikaltėliai siekia aprėpti kuo daugiau vartotojų, būtent todėl dažnai taiko masinius pranešimus su kenkėjiškomis programėlėmis arba tikslingai užkrečia populiarius tinklalapius. O vyriausybių remiami atakuotojai smogia iš anksto pasirinktoms aukoms.
Panašiose atakose visada taikomos unikalios kenkėjiškos programos, kuriamos pagal operacijos poreikius. Organizatoriai netgi gali sukurti nustatymus, draudžiančius taikyti virusą už konkretaus užkrėsto kompiuterio ribų. O paprasti kibernetiniai nusikaltėliai nevengia taikyti atviro ir pasiekiamo kenkėjiško kodo galimybes, pavyzdžiui, paplitusių „Trojos“ virusų „Zeus“ arba „Carberp“. Kibernetiniai nusikaltėliai gali užkrėsti tūkstančius viso pasaulio vartotojų, bet jie neturi galimybės išnagrinėti, kas jų aukos ir kokia informaciją jos disponuoja, todėl taiko universalią kenkėjišką programinę įrangą, užprogramuotą vogti vertingiausią informaciją: slaptažodžius, kreditinių kortelių numerius ir pan. Tokiais atvejais sukčiai siekia kuo greičiau išsiųsti duomenis iš užkrėsto kompiuterio į savo serverį – būtent į šiuos ypatumus reaguoja apsaugos programos, įdiegtos potencialių aukų kompiuteriuose.
Savo ruožtu specialistai, vykdantys valstybės remiamas kibernetines atakas, turi reikalingus resursus surinkti ir užkrėstame kompiuteryje saugoti visą juos dominančią informaciją – jų neriboja nei laikas, nei surenkamų duomenų apimtis. Šie atakuotojai nepritraukia programinės apsaugos įrangos dėmesio, nes stengiasi neužkrėsti atsitiktinių vartotojų. Dažnai jie taiko nuotolinės sistemos kontrolės instrumentus, kurie leidžia kopijuoti bet kokios apimties informaciją. Tačiau šis būdas irgi turi pažeidžiamą vietą – didelės apimties duomenų judėjimas gali sulėtinti tinklo sujungimą ir sukelti įtarimų.
„Valstybių finansuojamų atakų organizatoriai siekia kurti stabilesnius, patikimus ir nepastebimus kibernetinio šnipinėjimo instrumentus, ir tai susiję su tuo, kad informacinio saugumo ekspertai vis dažniau aptinka jų veiklą. Būtent todėl dabar jie stengiasi „supakuoti“ tokį kenkėjišką kodą, kuris leistų jiems greitai taikytis prie konkrečių aukų sistemų ir užtikrintų galimybę visus komponentus ir duomenis saugoti šifruotu pavidalu. Kitaip tariant, valstybių remiamų kibernetinio šnipinėjimo kampanijų skiriamieji bruožai – atakų platformų daugiamoduliškumas, architektūros sudėtingumas ir funkcionalumas“, – aiškina Kostinas Raju, „Kaspersky Lab“ globalaus tyrimo ir grėsmių analizės centro vadovas.
Platforma „EquationDrug“, patvirtinanti vieną ryškiausių „Kaspersky Lab“ nustatytų tendencijų, – pagrindinis „Equation Group“ šnipinėjimo instrumentas. Atakuotojai ją taiko jau daugiau nei 10 metų, tačiau pastaruoju metu ją išstumia dar sudėtingesnė platforma „GrayFish“. Pirmuosius panašių kibernetinio šnipinėjimo operacijų sudėtingumo požymius „Kaspersky Lab“ specialistai aptiko dar tirdami kampanijas „Caretomask“ („Kaukė“) ir „Regin“.