Особенности государственного кибершпионажа

В процессе изучения вредоносной платформы EquationDrug, использовавшейся в атаках нашумевшей Equation Group, специалисты «Лаборатории Касперского» выявили ряд новых особенностей, которые отличают спонсируемые государствами кампании кибершпионажа. Атаки, поддерживаемые государственными органами, становятся все более сложными: организаторы стремятся к увеличению числа программных компонентов используемой платформы, что позволяет как можно дольше скрывать свое присутствие в зараженной системе.

Самые современные платформы для атак имеют множество встраиваемых модулей, позволяющих применять широкий спектр вредоносных инструментов и, более того, подбирать наиболее подходящий набор зловредов в зависимости от особенностей конкретной жертвы и той информации, которой она владеет. Так, платформа EquationDrug, по оценкам «Лаборатории Касперского», содержит 116 различных программных модулей.

Спонсируемые государствами кампании заметно отличаются от прочих атак своими масштабами. Если обычные киберпреступники стремятся охватить как можно больше пользователей, атакующие, поддерживаемые правительствами, наносят точные и хорошо продуманные удары по небольшому числу заранее избранных жертв. В качестве «оружия» в подобных атаках всегда используются уникальные вредоносные программы, создаваемые с учетом потребностей операции. Организаторы даже могут установить настройки, запрещающие использование зловреда за пределами конкретного зараженного компьютера. Специалисты, стоящие за кибератаками с государственной поддержкой, обладают всеми необходимыми ресурсами для сбора и хранения на зараженном компьютере всей интересующей их информации – они не ограничены ни во времени, ни в объемах собираемых данных. Эти атакующие не привлекают внимание защитного ПО, поскольку старательно избегают заражения случайных пользователей. Зачастую они применяют инструменты удаленного контроля системы, которые позволяют копировать любую информацию в любых объемах. Однако слабое место есть и в этом подходе – перемещение больших массивов данных способно замедлить сетевое соединение, что в свою очередь может вызвать подозрение.

«Организаторы финансируемых государствами атак, стремятся создавать более стабильные, надежные и незаметные инструменты кибершпионажа, и связано это с тем, что эксперты в области информационной безопасности все чаще стали обнаруживать их деятельность, – поясняет Костин Райю, руководитель глобального центра исследований и анализа угроз «Лаборатории Касперского».

Платформа EquationDrug, являющаяся одним из самых ярких подтверждений выявленной «Лабораторией Касперского» тенденции, - главный инструмент шпионажа Equation Group. Она используется атакующими уже больше десяти лет, однако в последнее время вытесняется еще более сложной платформой GrayFish.