Accesul la infrastructura critică - tranzacţionat de hackeri pe Darknet
alte articole
Un grup de mercenari cibernetici sparg sisteme cibernetice aparţinând guvernelor, instituţiilor financiare, infrastructurilor critice, precum şi ale companiilor, vânzând apoi accesul către acestea pe Darknet, internetul ascuns, dar accesibil doar prin software specializat.
Toate acestea se întâmplă pe o piaţă neagră a Darknet-ului cunoscută sub numele de CMarket sau "Piaţa criminală", care era anterior cunoscută sub numele de "Babylon APT".
CMarket conţine o piaţă "publică", alte pieţe mai mici, prezente numai pe bază de invitaţie nominală, precum şi servicii de angajare a hackerilor gata să spargă orice reţea din lume.
Epoch Times a publicat analize, capturi foto şi jurnale de chat de pe piaţă furnizate de către compania de informaţii Blacknet Cyber. Un agent operativ al acesteia, sub acoperire, a obţinut accesul la secţiunile private şi s-a apropiat de mai mulţi dintre membrii săi marcanţi.
Potrivit BlackOps, site-ul este condus de hackeri din mai multe ţări, care pretind că sunt latini. Cu toate acestea, principalul operativ, potrivit cercetătorilor, pare să fie un hacker care lucrează pentru Partidul Comunist Chinez. Individul, la serviciul său zilnic, îşi desfăşoară operaţiunile pentru regimul chinez, iar atunci când operaţiunile sunt terminate, el vinde datele despre companii, guverne şi alte obiective pe piaţa neagră.
"Nu are nici o problemă să facă trecerea din lumea interlopă la locul său de muncă", a relatat BlackOps. "De asemenea, el recrutează în subteran pentru afacerea lui".
Grupul CMarket a reunit câteva organizaţii criminale internaţionale, potrivit BlackOps. Cercetătorii au remarcat că atunci când criminalii de pe CMarket sunt suprasolicitaţi, aceştia sub-contractează locuri de muncă unei echipe de hackeri din Brazilia. Unii membri ai grupului par a fi cetăţeni filipinezi.
Contracte guvernamentale
Atunci când specialiştii din domeniul securităţii informatice încearcă să detecteze originile unui atac cibernetic, metodele tipice sunt analiza instrumentelor folosite, ce tip de grup ar fi interesat de ţintă, precum şi analizarea altor atacuri cibernetice care folosesc instrumente similare sau care au avut interese criminale similare.
Dar realitatea prezentă pe CMarket aruncă toată această analiză la gunoi, deoarece arată o suprapunere semnificativă între guverne, structurile de criminalitate informatică, cartelurile globale şi reţelele de crimă organizată.
Într-o postare de chat furnizată de un investigator sub acoperire al BlackOps, un vânzător al CMarket a oferit acces la dispozitivele hăckuite ale unei celule teroriste despre care ar fi fost instruită să se infiltreze în Europa de Vest. "Sunt toţi susţinători activi şi luptători", a scris vânzătorul, menţionând că teroriştii erau instruiţi la acel moment şi că "vor fi trimişi în alte părţi ale Europei. ... Nu toţi, dar o parte - sigur".
Hackerii CMarket au fost, la un moment dat, angajaţi de un grup russesc pentru a sparge dispozitivele celulei respective în 2016. Vânzătorul spunea că grupul rusesc intenţiona să vândă autorităţilor accesul la dispozitivele sparte, dar aştepta ca celula teroristă să-şi înceapă atacurile, deoarece astfel ar creşte valoarea datelor oferite.
Salesman-ul de pe CMarket posta: "Datelor despre luptători le creşte valoarea imediat ce se angajează în operaţiuni." El a adăugat: "În curând acest nume va apărea pe ştiri :)"
Vânzătorul CMarket nota că grupul rusesc le-a oferit o armă cibernetică unică pentru a executa spargerea. Vânzătorul a descris instrumentul ca fiind "în principiu un RAT, dar mult mai avansat ... capabil să infecteze prin [alte] moduri la care cercetătorii încă mai visează", şi a mai remarcat că: "Ei au un tip care lucrează la dezvoltarea tehnologiilor noi".
RAT se referă la un virus "troian cu acces de la distanţă", care poate infecta un computer şi permite unui hacker să obţină control complet asupra dispozitivului spart, inclusiv a camerei sale web.
Unele date puse la vânzare pe CMarket sunt orientate în mod special către interesele guvernamentale şi militare.
Într-unul din forumuri, un vânzător al CMarket i-a spus anchetatorului sub acoperire că a vândut recent baze de date despre NATO şi Ministerul Apărării din Germania şi că încă mai are acces la serverele agenţiei britanice de informaţii MI5 şi a Royal Air Force.
Atunci când anchetatorul a cerut mai multe detalii, i s-a spus că datele privind agenţiile de apărare şi de informaţii au fost colectate dintr-o singură operaţiune şi conţin aproape 5.000 de conturi. Vânzătorul a scris: "Membrii acelui intranet sunt personalul activ al NATO, al Ministerului Apărării şi al militarilor".
Criminalul cibernetic a declarat, de asemenea, că grupul său a început să se infiltreze în Universitatea Qatar şi a menţionat: "Aceasta este singura universitate guvernamentală din ţară." Spargerile universitare sunt de obicei valoroase pentru accesarea proiectelor de cercetare şi pentru selectarea profesorilor vizaţi pentru campanii de influenţă".
O pagină de pe piaţa site-ului pentru "Atacuri guvernamentale" a afişat date şi acces pentru vânzare, inclusiv "Identitatea personală şi datele federale de vot" din Mexic şi accesul la "serverele guvernamentale" din Mexic. Obţinerea accesului la datele de vot poate ajuta reţelele criminale să înţeleagă amplasarea sistemelor de votare ale unei ţări vizate, în timp ce accesarea serverelor guvernamentale permite hackerilor să se infiltreze în alte sisteme din cadrul reţelelor guvernamentale.
Datele privind angajaţii guvernamentali pot fi folosite ca punct de plecare pentru spionajul la nivel guvernamental; Hackerii vor încerca de obicei să spargă computerele angajaţilor guvernamentali pentru a obţine un acces mai adânc al agenţiilor la care lucrează aceştia.
O altă ofertă d epe CMarket oferea accesul la sistemele SCADA, care sunt folosite pentru controlul pieselor mobile în infrastructurile critice, precum centralele electrice. Criminalii cibernetici au menţionat accesul la sistemele SCADA pentru 3 până la 5 bitconi (6.855 USD până la 11.425 USD), menţionând că au avut mai multe ţinte disponibile.
Unele dintre lucrurile oferite pe CMarket sunt produse special pentru cartelurile şi reţelele de crimă organizată.
La un moment dat a fost făcută o ofertă pentru accesul la sistemul de identificare al navelor pazei de coastă din S.U.A., care poate monitoriza sistemele automate de urmărire utilizate pentru identificarea şi urmărirea navelor, inclusiv cele utilizate de autorităţi.
Conform sursei interne a BlackOps, fişierele au fost vândute pentru 5 până la 7 bitcoini (11.761 USD până la 16.465 USD).
Potrivit BlackOps, criminalii cibernetici de la CMarket au încercat să vândă sistemul unor contrabandişti care l-ar putea folosi pentru a urmări şi a evita navele de coastă.
Printre celelalte oferte au fost şi identităţile şi informaţiile personale ale agenţilor din Poliţia Federală din Brazilia. Postarea a menţionat că unii agenţi identificaţi "au participat la operaţiunea darkode", referindu-se la închiderea în 20 de ţări a Forumului online de crimă online Darkode din iulie 2015.
O altă postare a oferit acces la o bază radio a unei mari companii de telecomunicaţii din America Latină. Datele au inclus "locaţia radio pentru [spionii cibernetici] avansaţi", disponibilă pentru sume cuprinse între 7 - 10 bitcoini (16.465 USD până la 23.628 USD).
O postare mai mare a oferit acces la un mare proiect de telecomunicaţii din Mexic şi face publicitate datelor din 32 de state şi 26 de municipalităţi. Postarea a declarat că cinci procurori de stat mexicani au folosit Sistemul Unic de Informaţii Penale şi că datele furate ar putea oferi acces indirect la sistem prin intermediul datelor furate de la Institutul Naţional pentru Migraţie. Datele includ, de asemenea, baze de date din sistemul naţional de securitate publică din Mexic şi din forţele sale federale de poliţie. Accesul la sistem a fost oferit pentru 100-120 bitcoini (236.280 USD până la 283.536 USD).
Agenţii acoperiţi devin vulnerabili
BlackOps a declarat că informaţiile care sunt comercializate cartelurilor de droguri şi grupurilor de crimă organizată ar putea fi folosite pentru a identifica agenţii sub acoperire sau pentru a monitoriza comunicările poliţiei.
Menţionarea specifică a operaţiunii care a închis websitul Darkode în dosarele poliţiei federale implică faptul că unii agenţi ar fi putut fi implicaţi în investigarea reţelelor criminale online, iar astfel de informaţii ar fi de interes pentru reţelele cibernetice care supraveghează investigaţiile oficiale.
Alte date sunt comercializate infractorilor cibernetici, inclusiv accesul la spitale, care sunt folosite în mod obişnuit pentru atacuri ransomware în care aceştia criptează (blochează) date de pe computerele atacate şi percep taxe pentru a le debloca. În plus, spitalele deţin, de asemenea, baze de date cu informaţii personale care pot fi folosite pentru furtul de identitate.
Printre informaţiile puse la vânzare pe CMarket s-a aflat şi o ofertă din Statele Unite, care făcea reclamă că "are tot ce este necesar pentru spionarea cibernetică a SUA".
Alte înregistrări includ cantităţi masive de date - aproape 150 de milioane de înregistrări din Mexic, 20 de milioane de înregistrări din Argentina, 40 de milioane din Peru, precum şi o bază de date separată specială cu identităţile angajaţilor guvernamentali din diferite ţări.
Business Intelligence (Analiza datelor)
Unele informaţii oferite de CMarket sunt orientate mai precis spre spionajul industrial şi competiţia economică. Datele de acest fel ar permite unei companii sau unei industrii de stat să-şi monitorizeze concurenţii, să obţină informaţii privind preţurile şi negocierile contractuale şi să fure proprietatea intelectuală.
Una dintre ofertele private privea "toate companiile Statelor Unite". Mercenarul cibernetic a adăugat: "Toate aceste informaţii sunt detaliate, au fost cercetate fiecare parte."
Datele fuseseră extrase de hackeri dintr-o bază de date a unei mari companii de ştiri din SUA. Mercenarul cibernetic susţinea că a inclus 350.000 de înregistrări cu informaţii personale ale persoanelor care ar putea fi vizate prin operaţiuni de spionaj cibernetic, pentru a obţine un acces mai profund la companii.
O postare pe piaţă oferea informaţii despre angajaţii unei companii mari de gaze şi petrol din Yemen, spunând că datele pot fi utilizate în atacuri specifice şi a notat că spargerea era nedetectată.
O postare separată oferea o bază de date cu informaţii personale şi structurale despre o companie chimică din Egipt, menţionând că aceasta a fost "una dintre principalele surse de producţie". Intrarea a fost publicată la 35-40 bitcoini (80.790 USD până la 92.332 USD).
O altă postare viza vânzarea "sistemului de vulnerabilităţi ale companiilor aeriene" enumerând companii aeriene majore, inclusiv United Airlines şi Japan Airlines, precum şi companiile aeriene de marfă precum UPS şi Fedex.
Într-o postare de chat, vânzătorul oferea investigatorului sub acoperire datele necesare spargerii unei mari bănci indiene şi ale unei burse indiene. Vânzătorul oferea acces la bancă pentru suma de 50.000 USD, afirmând că grupul a spart "serverul central" al băncii şi că se află în procesul "verificare a faptului că infectarea este sigură şi că poate sparge mai multe servere". Vânzătorul a mai remarcat că spargerea pieţei bursiere era "o operaţiune în curs, şi că este 90% făcută".