Cybercrime as a Service – Hotet mot dig

över 2 år sedan

Cybercrime as a Service är inte ett helt nytt koncept, faktum är att det funnits ett tag. Det obehagliga med det är att det är mer utbrett än vad man kan tro. Framför allt är det lätt för vem som helst att beställa dessa tjänster. Detta innebär att vem som helst även kan bli utsatt för denna sorts brott på en helt annan nivå idag när CaaS börjar bli utbrett. Man behöver inte särskilt mycket kunskap eller stort kontaktnät för att t. ex kapa någons dator, utföra en DoS-attack eller till och med stjäla någons identitet.

Så vem beställer dessa brott? Man kan tro att de som beställer är kvasikriminella individer eller nätverk med uppsåt att förstöra eller på ett eller annat sätt tjäna pengar, vilket i vissa fall är sant. Det som kan förvåna många är dock de beställningar av malware som görs av regeringar, företag och organisationer. Deras avsikt kan vara att skaffa information om t ex hur långt ett land har kommit i sin kärnvapenupprustning. Eller vad för produktplanering ett specifikt företag har och på så sätt skaffa ett försprång inom utvecklingen av sina egna produkter. I en del fall har till och med regeringar öppet gått ut med att de ligger bakom specifika attacker även om det oftast inte får lika stor uppmärksamhet som när t ex gruppen Anonymous utför riktade attacker mot diverse mål. Exempelvis Anonymous attacker på svenska myndigheter.

”I Ryssland drivs en stor del av den här verksamheten av ”Russian Business Network” – den Ryska maffian.”

Vi har lyckats få tag i en före detta cyberkriminell som ville ställa upp anonymt på en intervju. I intervjun kallad ”Anders”. Nedan följer delar av denna intervju. Vi har valt att inte ändra i språket, av denna anledning så är det återgivet ”som man pratar”.

Vad gjorde du som cyberkriminell?

Anders: -Jag ägde ett botnät och skrev malware för ett par år sedan. Jag utnyttjade botnätet för bland annat Bitcoin-mining när kryptovaluta började ta fart. Jag sålde även malware-kod och bankuppgifter till dem som betalade bäst.

Varför gjorde du detta?

Anders: -Främst för att tjäna pengar utöver min vanliga lön. Dessutom är det något jag är bra på och tyckte var kul.

Hade du ett vanligt jobb också?

Anders: -Jag har haft en del olika jobb, de flesta inom utveckling och säkerhet.

Hur gick du tillväga?

Anders: -Hmm, det är en ganska bred fråga. Det finns en hel del olika typer av malware som har läckt ut eller ”open sourceats” på nätet. Koden till Zeus-trojanen läckte för några år sedan, jag uppdaterade koden med nya funktioner, installerade C&C servern hos en ”no questions asked” VPS-host, och sålde information på ryska forum. Det låter lätt, men det är en DEL timmar som jag lade på att sätta upp detta.

Var du inte rädd för att bli upptäckt?

Anders: -Jo man var ju konstant småparanoid, men det är svårt att spåra. Alla betalningar gjordes via bitcoin, kommunikationen var krypterad och en stor del av trafiken gick över TOR-nätet. Oftast använde jag hackade servrar och nätverk, och hade en dedikerad dator när jag jobbade med detta.

Gjorde du allting själv eller fick du hjälp?

Anders: -Jag gjorde det absolut inte själv, det hade inte varit lönsamt. I Ryssland drivs en stor del av den här verksamheten av ”Russian Business Network” – den Ryska maffian. De skötte i stort sett hela kedjan, från att agera ISP, till att distribuera min malware (exploit kits). Det kostade mig givetvis att använda mig av dem, men det var inte speciellt dyrt. Det största problemet jag hade var att hitta någon som kunde hjälpa mig med språket, ryssarna litar bara på andra ryssar.

Kan man livnära sig på detta?

Anders: -Jo det finns många som lever på det. För mig var det dock inte tillräckligt mycket för att säga upp mitt vanliga jobb. De som tjänar mycket, t.ex spammers eller ransomware-gubbar, exponerar sig själva mycket mer än vad jag gjorde. De tar högre risk, därför drar de in mer pengar.

Varför slutade du?

Anders: -Jag insåg att detta inte var speciellt lönsamt utan att öka risken, och det blev som vilket annat tråkigt jobb som helst, jag såg det som en bra ursäkt att avsluta det kapitlet.

Vad kan man göra för att skydda sig?

Anders: -De flesta blir infekterade via sårbarheter i webbläsarplugins som t.ex flash, java, eller silverlight. Alternativt via spam. Avinstallera alla plugins, patcha windows och alla program på datorn, klicka inte på konstiga mail. Detta kommer hjälpa dig mycket mer än ett vanligt antivirus.

Källa: Anonym före detta cyberkriminell.

Precis som ”Anders” säger är det Russian Business Network som ligger bakom många utav de Cybercrimetjänster som erbjuds på nätet. En organisation som officiellt registrerades som ett internetbolag år 2006, och har sedan dess legat bakom otaliga mängder riktade och oriktade attacker. Allt ifrån spam, phishing, och ID kapning, till enorma botnät, cryptolocker, DDoS, och spionage (Se Operation ”Red October”). Använder man sig av deras tjänster ingår ofta snabb support, användarvänliga gränssnitt, och leder ofta till en lyckad attack. De är duktiga, de är högavlönade, och de är professionella.

Men attackerna slutar inte vid RBN. Så kallade APT-grupper (Advanced Persistent Threat) har fått mer och mer uppmärksamhet sedan upptäckten av Stuxnet år 2010. Ett malware som skapades i ett samarbete mellan Amerikanska staten och Israel, och lyckades sabotera urananrikningscentrifuger i Iran under flera år. Dessa grupper får tillgång till ofantliga resurser, och är ofta backade av statliga eller militära organisationer, som t ex Kinas ”APT1”.

Dessa hot kallas APT för att de är avancerade, ihärdiga, och orkestreras av organisationer med pengar och skickliga människor. De kan vara så svårspårade och resistenta att de pågår i decennium, så som DarkHotel. DarkHotel har sedan 2007 riktat sina kampanjer mot högprofilerade mål; ofta högt uppsatta chefer, beslutsfattare och politiker, genom att hacka och kontrollera hotell WiFi runt om i världen. Antalet infektioner är uppe i tusentalet, alltså tusentals riktade attacker där de selektivt valt ut sitt mål, infekterat dem, extraherat värdefull information, och rensat alla spår efter sig. Det låter som något ur en Hollywoodfilm, men det här är på riktigt.

Cybercrime as a Service drivs som vilket företag som helst, med visioner, affärsplaner och kickoffer. De som jobbar med CaaS är ofta involverade i en större organisation drivna av pengar och makt.
CaaS är i allra högsta grad ett reellt hot inte bara mot myndigheter och företag utan även mot dig som privatperson. Sannolikheten att du utan vetskap är en del av en kampanj där man utnyttjat de säkerhetsbrister som alltid finns i datorer, nätverk, operativsystem och applikationer är stor.

Chansen att du kommer upptäcka att du är ett verktyg eller ett mål i denna kampanj är minimal…

Källor:

http://www.svd.se/fortsatta-attacker-mot-sverige-35wb

http://www.kaspersky.com/about/news/virus/2013/Kaspersky_Lab_Identifies_Operation_Red_October_an_Advanced_Cyber_Espionage_Campaign_Targeting_Diplomatic_and_Government_Institutions_Worldwide

https://heimdalsecurity.com/blog/wp-content/uploads/exploit-kits-and-ransomware.png

https://en.wikipedia.org/wiki/Stuxnet

http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf

https://securelist.com/blog/research/66779/the-darkhotel-apt/


Det allra senaste från oss

Här finns mer att läsa om