BlackBerry обнаружила новую группу наемных хакеров
CostaRicto стала уже пятой из открытых в этом году групп компьютерных взломщиков, работающих по найму. Информацию о ней обнародовала вчера группа Research and Intelligence Team компании BlackBerry.
Местонахождение CostaRicto остается неизвестным. Основываясь на географии большинства атак, BlackBerry предполагает, что злоумышленник может базироваться в Юго-Восточной Азии, а широкий разброс локаций и характера жертв (большинство из которых это финансовые организации) не соответствуют картине работы на единственного заказчика, например, на государство.
BlackBerry отследила образцы вредоносного ПО CostaRicto, вплоть до октября 2019 года, но некоторые улики, найденные на серверах этой группы указывают, что начало ее деятельности восходит к 2017 году.
Также сообщается, что хакеры используют собственное, ранее никем не применявшееся ПО. Для взлома, в основном служат украденные идентификационные данные или письма целевого (spear) фишинга, распространяющие бэкдор-трояны, известные под собственными названиями Sombra или SombRAT.
Собранная троянами информация пересылается в командную инфраструктуру CostaRicto в Даркнете, доступную только через Tor. Инфицированные машины обычно подключаются к серверам через промежуточный слой прокси или туннелей SSH для сокрытия вредоносного трафика от жертв.
Публичные разоблачения BellTrox, DeathStalker, Bahamut и CostaRicto в этом году демонстрируют, что все больше и больше хакерских групп предпочитают торговать своими услугами вместо того, чтобы организовывать атаки по собственной инициативе.