Европейские хакеры работают малыми группами
"После проведения обширного исследования, связанного с природой хакерского подполья Восточной Азии и Восточной Европы, Trend Micro пришла к выводу, что хакеры из стран бывшего Советского Союза - это более сложно-организованные и опасные группы в сравнении с их более популяризированными восточно-азиатскими коллегами", - говорит он.
По его словам, эти две больших группы хакеров имеют разные режимы и способы работы. Восточноевропейские хакеры обычно работают в небольших группах и пишут специализированный вредоносный код под каждую атаку. Сам по себе написанный код довольно компактен, имеет высокую степень автоматизации и применяется всегда только после заранее проведенной обширной кампании по разведке.
В отличие от этого, восточноазиатские хакеры тяготеют к использованию готовых наборов вредоносного программного обеспечения, эксплуатирующих те или иные уязвимости в общеизвестном программном обеспечении. Попав внутрь целевой системы, хакеры пытаются выкрасть как можно больше информации и подключить к атаке как можно больше ресурсов, экспортируя все похищенные данные оптом обратно на свои ресурсы. Такой стиль обратен стилю восточноевропейцев и практически не оставляет шансов остаться незамеченными после атаки.
В Trend Micro говорят, что разница атакующих стилей заключается в степени развитости рынка вредоносного программного обеспечения. Восточная Европа - это один из самых старых рынков вредоносного софта, который начал коммерциализироваться еще в 90е годы, после того, как многие программисты на постсовестском пространстве остались без работы и уезжали из стран, либо уходили в хакерско-коммерческое подполье. Этот рынок остается коммерциализированным уже более 15 лет.
Это также находит отражение и в их коде. Большинство хакеров в восточноевропейском регионе начали работу с устаревшего оборудования, из-за чего выработали привычку к написанию очень компактного и быстрого кода, который максимизирует эффективность, не требуя больших ресурсов. Сторонние инструменты здесь также редкость.
"Сейчас все больше говорят о таком классе вредоносов, как кибероружие. По нашим данным, большинство подобных кодов пишутся с нуля именно здесь", - говорит Келлерманн. "Если азиатский и восточноевропейские хакерские рынки сравнить с оружием, то азиатский рынок - это пулемет, старающийся уничтожить все на своем пути, а восточно-европейский - снайперская винтовка с лазерным прицелом для одного, но очень точного выстрела в цель".
При этом, в Trend Micro говорят, что они не склонны измерять все рынки по одному шаблону. На азиатском рынке также есть высообразованные и опытные хакеры, которые используют похожие на европейскую техники. Хотя в целом на сегодняшний день азиатский рынок - это рынок готовых купленных решений или же решений, который были созданы на основе какой-то базы с добавлением некоторой кастомизации. "В целом, можно сказать, что азиатский рынок вредоносного ПО менее элегантный и более массовый. Здесь в ход идет все, что может в принципе использоваться", - говорит вице-президент Trend Micro.
В антивирусной компании рассказали, что различия в подходах также обусловлены и разными мотивами атак. Если европейцами в первую очередь движет личная финансовая нажива, то азиатские хакеры в первую очередь охотятся за корпоративными данными и занимаются промышленным шпионажем. "Большая часть хакерских инцидентов, ведущих в Азию, не связаны напрямую с деньгами, они направлены на прямую кражу данных в интересах заказчиков или кражу этих же данных, чтобы потом их перепродать потенциальным получателям", - рассказал Келлерманн.
"Азиатская тактика со стратегической точки зрения имеет больше преимуществ, но до тех пор, пока у хакеров есть надежный государственный покровитель или государственный заказчик. В отличие от этого, европейские хакеры работают малыми группами и не имеют высокопоставленных покровителей. Выйти на контакт с восточноевропейскими хакерами непросто, они стараются не афишироваться и наладить с ними контакт в большинстве случаев можно только через личного связующего знакомого", - говорит он.
