Китайская группировка Threat: как шпионы стали вымогателями

На протяжении многих лет субъекты киберугроз совершали атаки с целью распространения вредоносного ПО и использования инструментов для сбора разведданных, часто руководствуясь финансовыми мотивами. Однако недавнее событие привлекло внимание исследователей в области кибербезопасности: спонсируемые государством хакеры, занимающиеся шпионажем, теперь подрабатывают в качестве операторов программ-вымогателей.

    

Подработка, с технической точки зрения, — это использование сотрудниками официальных ресурсов для выполнения второй работы без ведома основного работодателя. Такая практика приводит к убыткам для основного работодателя, поскольку время, программное обеспечение и вычислительные ресурсы используются в других целях. Сейчас это явление появляется в мире киберпреступности, когда злоумышленники-шпионы используют программы-вымогатели для личной выгоды.

    Один из таких случаев связан с базирующейся в Китае группой угроз, известной как Emperor Dragonfly. Изначально эта группа занималась сбором разведданных, но теперь её поймали на распространении программы-вымогателя RA World. Неясно, полностью ли сменила цели Emperor Dragonfly или её участники занимаются атаками с использованием программ-вымогателей в качестве подработки.

    Исследователи из команды Symantec по борьбе с угрозами, которые отслеживают эти события с июня 2024 года, пришли к выводу, что некоторые государственные субъекты теперь занимаются киберпреступностью с финансовой мотивацией. Это может быть связано с личными финансовыми стимулами или усилением давления со стороны правоохранительных органов по всему миру, что нарушило многие поддерживаемые государством кибероперации.

    В дополнение к этому эксперты по безопасности из подразделения 42 компании Palo Alto Networks отметили аналогичную тенденцию. Они предполагают, что этот сдвиг может быть связан с нестабильным государственным финансированием киберпреступлений, из-за чего некоторые хакеры ищут альтернативные источники дохода.

    Традиционно подработку связывают с сотрудниками в сфере программного обеспечения и информационных технологий. Однако эта последняя тенденция показывает, что даже хакеры подрабатывают, что приводит к необычным и редким изменениям в сфере киберугроз.

    Интересно, что с 2020 года группы, занимающиеся вымогательством, значительно изменились. Многие из них перешли к проведению распределённых атак типа «отказ в обслуживании» (DDoS) и наоборот. Этот сдвиг совпал с глобальным экономическим спадом, вызванным карантином из-за COVID-19, что побудило киберпреступников искать новые способы поддержания своей деятельности.

Заключение

    Это интересный сдвиг в ландшафте киберугроз! Идея о том, что спонсируемые государством хакеры подрабатывают операторами программ-вымогателей, добавляет совершенно новый уровень сложности в стратегии киберзащиты. Это ещё больше затрудняет атрибуцию: были ли эти атаки санкционированы или это просто мошенники, ищущие дополнительный доход?

    С финансовой точки зрения это тоже имеет смысл. Если государственное финансирование киберопераций будет непостоянным или сократится, эти субъекты могут прибегнуть к киберпреступности, чтобы восполнить пробел. Это также согласуется с тем, как группировки, занимающиеся программами-вымогателями, адаптировались после 2020 года, меняя тактику в зависимости от глобальных событий и действий правоохранительных органов.

    Это поднимает более важный вопрос: если государственные субъекты подрабатывают в качестве финансово мотивированных киберпреступников, как это влияет на глобальную политику в области кибервойн? Будут ли правительства привлекать другие страны к ответственности за атаки с использованием программ-вымогателей, совершённые их собственными оперативниками, даже если эти оперативники действовали не по прямому приказу?