Мы неоднократно писали про
APT, которые не являются прогосударственными, а занимаются кибершпионажем по найму. К примеру, про группу
Death Stalker,
обнаруженную Касперскими, или
UNC1945, которая была недавно
выявлена FireEye.
Отчет в отношении новой подобной хакерской группы, получившей название
CostaRicto,
опубликован компанией
BlackBerry.
Новая
APT, согласно выводам экспертов, по сложности своих TTPs очень похожа на прогосударственную, но разнообразие профилей и географии их жертв свидетельствует, что это наемники в области кибершпионажа.
Цели
CostaRicto разбросаны буквально по всему миру, но основная их концентрация приходится на
Индию,
Бангладеш и
Сингапур, что дает основание полагать, что родиной хакерской группы является
Азия. Сама кибероперация, выявленная исследователями, длится как минимум с октября 2019 года, но отдельные временные метки во вредоносном ПО относятся еще к 2017 году.
Для атаки на целевую сеть
CostaRicto использует набор оригинальных вредоносов, среди которых ключевым является авторский бэкдор
Sombra (персонаж-хакер из игры
Overwatch), обладающий основным функционалом трояна удаленного доступа (RAT). Всего ресерчеры обнаружили шесть различных версий
Sombra. Для связи с управляющими центрами используется туннелирование и SSL-шифрование.
Один из IP-адресов вредоносной инфраструктуры
CostaRicto пересекается с замеченным ранее фишинговым доменом, использовавшимся в киберкампании, приписываемой
APT 28 aka
Fancy Bear, но это, по мнению исследователей, не более чем совпадение.
Таким образом,
BlackBerry обнаружили очередную профессиональную хакерскую группу, работающую на аутсорсе. Поскольку подобные услуги, судя по всему, становятся все более популярными, то предлагаем их называть
APT-as-a-Service или
APTaaS. По аналогии с RaaS.
