פשע שיתופי: עברייני סייבר במדינות שונות משתפים פעולה לשיפור יכולות התקיפה

חקירת עומק שביצעו חוקרי מעבדת קספרסקי בפורומים של העולם התחתון ברוסיה וברזיל, חשפה כי עברייני סייבר בשני צידי הגלובוס גוברים על פערי זמן ושפה כדי לייצר שיתוף פעולה הדוק המניע אבולוציה מהירה בהתקפות קוד זדוני.

ברוסיה וברזיל נמצאים שני השווקים הגלויים ביותר של עולם פשיעת הסייבר, הודות לפתיחות היחסית שלהם, רמת הפעילות הגבוהה, והמספר הגדול של פורומים מקוונים שמשמשים עבריינים כדי לתקשר האחד עם השני. באופן היסטורי, שני השווקים התפתחו באופן עצמאי, ויצרו טכניקות נפרדות להתקפות סייבר אשר נבנו בהתאם לתנאים המקומיים (לדוגמא, הקוד הזדוני הברזילאי Boleto, והקוד הזדוני לשירותי בנקאות ניידים ברוסיה). עם זאת, מחקר של חוקרי מעבדת קספרסקי מראה כי עבריינים ברזילאיים ורוסים יצרו בשנים האחרונות תשתית של שיתוף פעולה הדדי. עבריינים ברזילאים מחפשים דוגמיות בפורומים ברוסיה, קונים כלי פשיעה חדשים וקוד זדוני לקופות וכספומטים, או מציעים את שירותיהם. המסחר הזה פועל בשני הכיוונים, כששיתוף הפעולה מסייע להאיץ את האבולוציה של הקוד הזדוני.

דוגמאות מהעולם האמיתי

סימנים לשיתוף פעולה זה נצפו באחד מהפורומים של העולם התחתון שמבקרים בו בדרך כלל דוברי רוסית. באחד מהדיונים ציין משתמש בשם Doisti74 כי יש לו עניין ברכישת "מטענים" ברזילאיים, שבשפת עברייני הסייבר המשמעות היא התקנות מוצלחות של קוד זדוני על מחשבים הממוקמים בברזיל.

חוקרי מעבדת קספרסקי הבחינו במשתמש באותו השם בסצנה הברזילאית, שם הוא ידוע כמשתמש פעיל בפורומים ואשר זוהה כמשתמש אשר מפיץ כלי כופר המכוון נגד משתמשים ברזילאיים.

מקרה אחר מראה כיצד העבריינים משתפים תשתית זדונית. מספר חודשים לאחר שמשפחת טרויאנים רוסית לבנקאות (Crishi) החלה להשתמש באלגוריתם המייצר דומיינים בשירות אירוח מוגן באוקראינה, עבריינים ברזילאיים העומדים מאחורי הקוד הזדוני Boleto החלו גם הם לעשות שימוש בתשתית. ללא סוג מסוים של שיתוף פעולה בין הגורמים שמאחורי Boleto והגורמים שמאחורי האלגוריתם מייצר הדומיינים, היה קשה מאוד לחוקרים וגופי אכיפת חוק לזהות את שרתי הפיקוד והשליטה.

עברייני סייבר גם מלווים טכנולוגיות קוד זדוני האחד מהשני. לדוגמא, מאז 2011 לפחות, עבריינים בברזיל פגעו ב- PACs – טכנולוגיה מיושנת, אבל אחת שעדיין תומכת בדפדנים מסוימים – כדי להפנות קורבנות לעמודי בנק מזויפים. פחות משנה עברה עד שחוקרי מעבדת קספרסקי זיהו את אותן טכניקות בשימוש Capper – טרויאני נוסף לבנקאות אשר כוון נגד בנקים רוסים וכנראה נוצר על ידי עבריינים דוברי רוסית.

אלו הן רק חלק מהדוגמאות הרבות של שיתוף פעולה בין עברייני סייבר רוסים וברזילאיים אשר זוהו בשנים האחרונות על ידי חוקרי מעבדת קספרסקי.

"רק לפני מספר שנים, קוד זדוני לבנקאות בברזיל היה בסיסי מאוד וקל לאיתור. עם הזמן, כותבי הקוד הזדוני אימצו מספר טכניקות להימנעות מזיהוי, כולל הסוואת קוד, יכולות root ו- bootkit ועוד, כשהם הופכים את הקוד שלהם למתוחכם יותר וקשה לעצירה. זאת הודות לטכנולוגיות קוד זדוני שפותחו על ידי עבריינים דוברי רוסית. שיתוף פעולה זה עובד בשני הכיוונים", אמר תיאגו מרקז, חוקר אבטחה במעבדת קספרסקי.

"הניסיון של מעבדת קספרסקי במעקב ולחימה בעולם התחתון של הסייבר ברוסיה ואמריקה הלטינית הוא חסר תקדים. המומחים שלנו מזהים מגמות זדוניות בצמיחה הרבה לפני שהן הופכות לנפוצות, ואנו ממנפים את הידע הזה כדי להילחם בהפצה של פשיעת סייבר מקומית לכל העולם. אנו חושבים כי הדרך הטובה ביותר לטפל בסוג זה של איום בינלאומי היא לערוך חקירה בינלאומית של פעילויות אלה. בדיוק כפי שלפשיעת הסייבר אין גבולות, כך צריך להיות גם מודול הפעולה של כל חקירה".

לדוח המלא - Securelist.com