Сајбер војна меѓу криминални групи: Нападнати самите хакери

Во светот на сајбер-криминалот се појави необичен пресврт: хакерска група почнала да ги напаѓа системите што веќе биле компромитирани од други хакери. Според најновиот извештај на компанијата за сајбер-безбедност SentinelOne, непозната група систематски ги презема серверите што претходно ги инфилтрирала озлогласената криминална мрежа TeamPCP, а потоа ги исфрла нивните алатки и пристапи.

Истражувачите ја нарекоа операцијата „PCPJack“. Откако новата група ќе добие пристап до компромитираните системи, таа веднаш ги брише трагите и софтверот на TeamPCP, а потоа инсталира сопствен злонамерен код кој може автоматски да се шири низ облачната инфраструктура. Целта е кражба на различни типови дигитални акредитиви и чувствителни податоци, кои подоцна се испраќаат кон сервери под контрола на напаѓачите.

TeamPCP последните месеци привлече големо внимание поради серија звучни сајбер-напади, меѓу кои и пробив во облачната инфраструктура на Европската комисија, како и масовен напад врз алатката за скенирање ранливости Trivvy. Последиците од тие напади ги почувствуваа бројни компании, вклучително и технолошки фирми што работат со вештачка интелигенција.

Од SentinelOne велат дека засега не е познато кој стои зад новата операција. Според истражувачката Алекс Деламот, можно е станува збор за поранешни членови на TeamPCP, конкурентска криминална група или независни хакери кои ги копираат методите на оваа организација. Таа посочува дека нападите многу потсетуваат на старите кампањи на TeamPCP насочени кон облачни сервиси и виртуелни инфраструктури.

Покрај преземањето веќе хакирани системи, новата група активно пребарува и незаштитени интернет-сервиси како Docker платформи, MongoDB бази на податоци и други јавно изложени сервери. Сепак, според анализата, главниот фокус останува насочен кон системите што претходно биле компромитирани од TeamPCP.

Истражувачите откриле и дека алатките на новата група водат евиденција за бројот на системи од кои успешно го исфрлиле TeamPCP. Овие информации автоматски се испраќаат кон инфраструктурата на напаѓачите, што укажува на добро организирана и координирана операција.

Мотивот зад нападите, според експертите, е пред сè финансиски. Украдените податоци и лозинки се продаваат на црниот пазар, а хакерите нудат и пристап до компромитираните системи на други криминални групи. Во некои случаи, жртвите директно се уценуваат за да платат откуп.

За разлика од многу современи сајбер-банди, оваа група избегнува да инсталира софтвер за копање криптовалути, бидејќи таквиот пристап бара подолг период за заработка. Наместо тоа, тие се фокусираат на брза монетизација преку кражба на податоци и препродажба на пристапи.

Дел од нападите вклучуваат и користење лажни веб-страници за техничка поддршка и фишинг домени дизајнирани за кражба на лозинки од менаџери за акредитиви, што дополнително ја зголемува опасноста за компаниите и корисниците ширум светот.