מתקפות ריגול סייבר בגיבוי מדינות הופכות למתוחכמות יותר וממוקדות במשתמשים מוגדרים היטב תוך שימוש בכלים מודולריים מורכבים המאפשרים צלילה מתחת לראדר של מערכות הגילוי. כך חושפים מומחי מעבדת קספרסקי.
מגמה חדשה זו אומתה במסגרת מחקר עומק של פלטפורמת ריגול הסייבר EquationDrug. מומחי מעבדת קספרסקי גילו כי בהמשך להצלחה המתרחבת של התעשייה לחשוף קבוצות ריגול (APT), השחקנים המתוחכמים ביותר בתחום מתמקדים כעת בהקטנת מספר הרכיבים בפלטפורמות הזדוניות שלהם,
כדי להפחית את יכולת הזיהוי שלהם ולהגדיל את ההסוואה. הפלטפורמות העדכניות ביותר נושאות כעת מודולים רבים שניתן להוסיף, המאפשרים להם לבחור ולבצע טווח רחב של פעולות בהתאם לקורבן ולנתונים שהוא מחזיק. מעבדת קספרסקי מעריכה כי EquationDrug כולל 116 פלאגינים שונים.
"תוקפים מטעם מדינות מחפשים ליצור כלי ריגול סייבר אוניברסליים, אמינים, בלתי נראים ויציבים. הם מתמקדים ביצירת סביבות תוכנה בהן ניתן לעטוף קוד זדוני ולבצע בהן התאמה בתוך מערכת חיה. זאת, תוך שימוש בדרך אמינה לאחסן את כל הרכיבים והנתונים בצורה מוצפנת, שאינה נגישה למשתמשים רגילים", מסביר קוסטין ראיו, מנהל צוות המחקר והניתוח הגלובלי של מעבדת קספרסקי. התחכום של הסביבות האלה הופך את השחקנים האלה לנבדלים מעברייני הסייבר המסורתיים. האחרונים מעדיפים להתמקד בהשתלת קוד זדוני עם יכולות שנועדו להשגת רווחים מיידית".
דרכים נוספות בהן תוקפים מטעם מדינות מבדלים את הטקטיקה שלהם מזו של עברייני הסייבר. מדובר בהיקף גדול בהרבה ממתקפות סייבר רגילות. בעוד עברייני סייבר מסורתיים מפיצים דואר אלקטרוני עם קבצים זדוניים בצורה המונית, או שהם מדביקים אתרי אינטרנט בהיקפים גדולים. בעוד שחקנים מגובי מדינה מעדיפים תקיפות נקודתיות וכירורגיות, המשפיעות רק על קומץ נבחר של משתמשים.
גם הגישה היא ייחודית לקבוצת הסייבר הערבית, בעוד עברייני סייבר מסורתיים בדרך כלל עושים שימוש בקוד מקור הזמין לציבור, כגון זה של הטרויאנים זאוס או Cabeb, שחקנים מגובי מדינה בונים קוד זדוני ייחודי, ומותאם אישית. הם אפילו מטמיעים בו הגבלות אשר מונעות פענוח הצפנה והפעלה מחוץ למחשב המטרה.
המידע אותו מחפשים בקבוצת הסייבר שונה כשקבוצת Equation מתמקדים בשליפת מידע בעל ערך. עברייני סייבר, באופן כללי, מנסים להדביק כמות גדולה ככל האפשר של משתמשים. אך הם חסרים את הזמן ושטח האחסון כדי לבדוק את כל המכונות שהודבקו, ולנתח מי בעליהן, איזה מידע מאוחסן בהן, ואיזו תוכנה הן מריצות – ואז להעביר ולאחסן את כל המידע בעל פוטנציאל ערך.
כתוצאה מכך הם בונים קוד זדוני מסוג הכל-כלול, אשר ישלוף רק את המידע בעל הערך הגבוה ביותר, כגון ססמאות ומספרי אשראי, מתוך המחשבים הפגועים – פעילות אשר יכולה להעלות אותם על המכ"ם של כל תוכנת אבטחה מידע שמותקנת בהם.
תוקפים בגיבוי מדינות לעומת זאת, הם בעלי משאבים לאחסן כל כמות מידע שירצו. כדי להתחמק מתשומת הלב ולהישאר בלתי נראים עבור תוכנות האבטחה, הם מנסים להימנע מהדבקה של משתמשים אקראיים. במקום זאת הם מתבססים על כלי ניהול מערכת מרחוק אשר מעתיק כל מידע שהם עלולים להיזדקק לו ובכל כמות. אך שיטת פעולה זו יכולה גם לפעול נגדם, משום שהעברת כמויות גדולות של נתונים מאיטה את החיבור לרשת ויכולה להעלות חשד.
"זה עלול להיראות חריג שפלטפורמת ריגול סייבר עוצמתית כמו EquationDrug לא מגיעה עם יכולות גנבה כחלק סטנדרטי מקוד הליבה שלה. התשובה היא שהם מעדיפים לבצע התאמה מדויקת של המתקפה עבור כל קרבן בנפרד. רק אם הם בחרו לנטר אותך באופן אקטיבי, ואם מוצרי האבטחה במערכת שלך נוטרלו, אתה תקבל פלאגין לניטור חי של שיחות או כל פעולת מעקב אחרת. אנו מאמינים שמודולאריות וקסטומיזציה יהפכו לסימן היכר ייחודי של תוקפים מגובי מדינה".
EquationDrug היא פלטפורמת הריגול המרכזית שפותחה על ידי קבוצת Equation. היא הייתה בשימוש במשך יותר מעשור, על אף שכעת היא מוחלפת בדרך כלל באמצעות פלטפורמת GrayFish המתוחכמת יותר. המגמות הטקטיות שאומתו במהלך הניתוח של EquationDrug זוהו לראשונה על ידי מעבדת קספרסקי במהלך מחקר שלה לגבי פעולות ריגול הסייבר Careto ו- Regin.
מוצרי מעבדת קספרסקי זיהו מספר ניסיונות התקפה על משתמשים באמצעות כלי פריצה שפותחו על ידי קבוצת Equation. רבות מההתקפות נכשלו בזכות טכנולוגית מניעת הפרצות האוטומטית אשר מזהה וחוסמת פרצות בלתי מוכרות באופן גנרי. תולעת Fanny שכנראה הופצה ביולי 2008 והייתה חלק מפלטפורמת Equation, זוהתה לראשונה ונרשמה על ידי המערכות האוטומטיות של מעבדת קספרסקי בדצמבר 2008.