Środowisko hakerskie to złożona mozaika różnorodnych zagrożeń. Zrozumienie ich motywacji, metod działania i strategii jest kluczowe dla skutecznej obrony.
Jakie zatem są najbardziej znane obecnie grupy hakerskie? Jakie cele obierają? I co nimi kieruje?
Czym jest grupa hakerska?
Grupy hakerskie najczęściej stanowią zdecentralizowane zespoły, które tworzą wykwalifikowani, lecz nie zawsze działający etycznie specjaliści. Wykorzystują oni słabości w zabezpieczeniach systemów informatycznych i sieci, aby inicjować ataki DDoS (rozproszona odmowa usługi), instalować złośliwe oprogramowanie, lub wykraść poufne dane. Motywacje hakerów są różnorodne: od zysku, przez szpiegostwo, aż po ideologiczne przekonania czy czystą satysfakcję z działania.
W skład grup hakerskich wchodzą osoby o różnych specjalizacjach, takie jak „białe kapelusze” (etyczni hakerzy), „czarne kapelusze” (złośliwi hakerzy), jak i „szare kapelusze”, stanowiący mieszankę obu tych typów.
Grupy te wyróżniają się innowacyjnością, stosując zaawansowane techniki, w tym exploity zero-day, phishing i socjotechnikę. Ich celem są rządy, organizacje, instytucje finansowe i infrastruktura krytyczna, co unaocznia konieczność wdrażania lepszych zabezpieczeń cybernetycznych.
Śledzenie ewolucji ich taktyk pozwala nam wzmocnić nasze systemy obronne, chronić wrażliwe informacje i zapewnić bezpieczniejszą przestrzeń cyfrową. Warto więc przyjrzeć się bliżej grupom hakerskim, które wyrobiły sobie reputację w dynamicznie rozwijającym się świecie cyberbezpieczeństwa.
1. Grupa Łazarza
W styczniu 2023 roku, serwis Al Jazeera donosił o kradzieży 100 milionów dolarów w kryptowalutach z platformy Harmony przez tę grupę, co ponownie zwróciło uwagę na Koreę Północną w kontekście cyberbezpieczeństwa. Nie był to jednak ich pierwszy tego typu wyczyn. Grupa Łazarza ma na swoim koncie między innymi ataki na Sony oraz rozpowszechnienie wirusa WannaCry, który jest jednym z najbardziej rozpoznawalnych ataków złośliwego oprogramowania w historii.
Ich sukces wynika z wytrwałości i ciągłego dążenia do celów o wysokiej stawce. Od wczesnych ataków DDoS na rząd Korei Południowej, poprzez infiltrację banków i kradzież milionów dolarów, bezczelne działania Grupy Łazarza regularnie pojawiają się w mediach. Atak na Sony Pictures w 2014 roku, który ujawnił poufne informacje, tajną korespondencję oraz przedpremierowe filmy, przyniósł im globalną sławę. Obecnie jednak Grupa Łazarza preferuje ataki na platformy kryptowalut.
Choć ich taktyki i cele ewoluują, jedna kwestia pozostaje niejasna: ich tożsamość. Czy Grupa Łazarza jest wspierana przez rząd Korei Północnej, czy też jest to międzynarodowy gang hakerów działający na zlecenie?
2. BlackBasta
To oprogramowanie ransomware z impetem wdarło się na scenę cyberprzestępczości na początku 2022 roku. Działając na zasadzie ransomware jako usługa (RaaS), w zaledwie kilka miesięcy dokonało setek ataków na firmy. Bleeping Computer informował o ataku na szwajcarskiego giganta technologicznego ABB, podczas którego wrażliwe dane trafiły w ręce cyberprzestępców. BlackBasta znana jest z precyzyjnych i dobrze zaplanowanych uderzeń.
Nie oszczędzając nikogo, BlackBasta atakuje organizacje w USA, Kanadzie, Wielkiej Brytanii, Australii, Nowej Zelandii i Japonii. Spekuluje się, że grupa wywodzi się z nieistniejącej już rosyjskiej grupy cyberprzestępczej Conti.
Zważywszy na podobieństwa w tworzeniu złośliwego oprogramowania, strukturze stron wyciekowych oraz metodach negocjacji i płatności, można przypuszczać, że BlackBasta to co najmniej „potomek” Conti.
3. LockBit
LockBit, bezwzględna grupa RaaS, prowadzi swoją cyberprzestępczą działalność od końca 2019 roku. Działa na zasadzie podziału zysków, oferując swoje ransomware innym cyberprzestępcom. Swoje dokonania grupa prezentuje na forach hakerskich, takich jak Exploit i RAMP, gdzie chwali się swoimi umiejętnościami.
LockBit posiada także dedykowaną stronę wyciekową, gdzie publikuje dane swoich ofiar w języku rosyjskim i angielskim. Twierdzą, że działają z Holandii i nie mają motywacji politycznych. Obecnie są najbardziej aktywną grupą ransomware na świecie.
Wszystko zaczęło się we wrześniu 2019 roku od ransomware ABCD, które wykorzystywało rozszerzenie pliku „.abcd”. Do stycznia 2020 roku LockBit przekształciło się w rodzinę RaaS, przyjmując nową nazwę i otwierając nowy rozdział w cyfrowej przestępczości.
4. Lapsus$
Ta niebezpieczna grupa hakerska zasłynęła brawurowym atakiem na brazylijskie Ministerstwo Zdrowia w grudniu 2021 roku, o czym informował ZDNet, gdzie zagrożone zostały dane dotyczące szczepień milionów ludzi na COVID-19. Od tego czasu grupa atakowała renomowane firmy technologiczne na całym świecie, takie jak Samsung, Microsoft i Nvidia. Zdołali nawet zakłócić działanie niektórych usług giganta gier, Ubisoft. Są również głównymi podejrzanymi o włamanie do EA Games w 2022 roku.
Tożsamość hakerów pozostaje tajemnicą: niektóre źródła sugerują, że liderem jest nastolatek z Anglii, inne wspominają o powiązaniach z Brazylią. Pomimo tego, że The Verge donosiło o aresztowaniu siedmiu osób w Londynie (wszystkie nastolatki), grupa nadal działa, utrzymując firmy i służby w stanie ciągłej gotowości.
5. Mroczny Władca
The Dark Overlord (TDO) znana jest z wyłudzania okupu od głośnych celów i grożenia ujawnieniem poufnych dokumentów, jeśli okup nie zostanie zapłacony. Początkowo grupa sprzedawała skradzioną dokumentację medyczną na darknecie, a następnie przeniosła się do ataków na Netflix, Disney i IMDb.
W szokującym obrocie spraw, o którym pisało CNBC, grupa przeszła od hakowania i wymuszeń do przeprowadzania ataków terrorystycznych na okręg szkolny Columbia Falls, wysyłając wiadomości z pogróżkami do uczniów i rodziców, żądając zapłaty za uniknięcie krzywdy. Te przerażające ataki wywołały panikę, która doprowadziła do zamknięcia ponad 30 szkół i pozostawienia ponad 15 000 uczniów w domach przez tydzień. Na tym jednak nie koniec: TDO ogłosiła włamanie do „akt 9/11”, grożąc ujawnieniem tajnych dokumentów, jeśli nie zostanie zapłacony wysoki okup w Bitcoinach.
Choć jeden z głównych członków TDO został schwytany i skazany na karę więzienia, pochodzenie grupy i prawdziwa tożsamość jej członków pozostają nieznane.
6. Clop
Clop, który pojawił się w 2019 roku, celuje w duże i ugruntowane firmy, zwłaszcza z branży finansowej, medycznej i handlowej. Wykorzystuje luki w zabezpieczeniach sieci i phishing, aby uzyskać dostęp do sieci, a następnie infekuje jak najwięcej systemów. Kradną dane i żądają za nie okupu.
Wśród ofiar Clopa znalazły się między innymi niemiecka firma programistyczna Software AG, Uniwersytet Kalifornijski w San Francisco (UCSF) oraz Accellion File Transfer Appliance (FTA).
Szybkie i wyrafinowane działania Clopa stanowią poważne zagrożenie dla firm na całym świecie, podkreślając konieczność stosowania solidnych środków cyberbezpieczeństwa.
7. Anonimowi
Prawdopodobnie najbardziej znana grupa hakerska, Anonimowi, to zdecentralizowany kolektyw, który wywodzi się z anonimowych forów 4chan. Od nieszkodliwych żartów po haktywizm, Anonimowi stali się siłą sprzeciwiającą się cenzurze i niesprawiedliwości korporacyjnej.
Grupa, znana z charakterystycznych masek Guya Fawkesa/V jak Vendetta, powstała w 2008 roku w odpowiedzi na domniemaną cenzurę Kościoła Scjentologicznego. Od tego czasu celem Anonimowych były m.in. RIAA, FBI, a nawet ISIS. Choć promują zasady takie jak wolność informacji i prywatność, ich zdecentralizowany charakter budzi pytania o ich prawdziwe intencje.
Pomimo licznych aresztowań, Anonimowi nadal od czasu do czasu podejmują działania.
8. Dragonfly
Dragonfly, znana również jako Berserk Bear, Crouching Yeti, DYMALLOY i Iron Liberty, to grupa zajmująca się cyber szpiegostwem, prawdopodobnie składająca się z wysoko wykwalifikowanych hakerów Federalnej Służby Bezpieczeństwa Federacji Rosyjskiej (FSB). Dragonfly działa od co najmniej 2010 roku, specjalizując się w atakach na infrastrukturę krytyczną w Europie i Ameryce Północnej, a także firmy obronne i lotnicze oraz systemy rządowe.
Działania grupy obejmują wyrafinowane kampanie spear-phishing i ataki typu drive-by-compromise. Choć nie ma oficjalnych potwierdzeń, powszechnie uważa się, że grupa jest powiązana z rosyjskim rządem.
Ataki DDoS Dragonfly wymierzone były w przedsiębiorstwa zajmujące się dystrybucją wody i energii w wielu krajach, w tym w Niemczech, Ukrainie, Szwajcarii, Turcji i USA, powodując przerwy w dostawie prądu, które dotknęły tysiące obywateli.
9. Klub Komputerowy Chaosu
Od 1981 roku Klub Komputerowy Chaosu (CCC) walczy o prywatność i bezpieczeństwo. Licząc około 7700 członków, jest potężną siłą. CCC to największa w Europie organizacja hakerów „białych kapeluszy”.
Hakerzy z CCC współpracują w regionalnych grupach hakerskich, tzw. „Erfakreisen” i mniejszych „Chaostreffs”. Organizują również coroczne wydarzenie o nazwie Chaos Communication Congress i wydają publikację „Die Datenschleuder”.
W swojej działalności skupiają się na haktywizmie, wolności informacji i bezpieczeństwie danych. W 2022 roku włamali się do systemów identyfikacji opartych na wideo (Video-Ident), uzyskując dostęp do prywatnych danych medycznych użytkowników. Miało to na celu zwrócenie uwagi na zagrożenia związane z bezpieczeństwem i potrzebę wzmocnienia zabezpieczeń wrażliwych aplikacji.
10. APT41 znany również jako Podwójny Smok
Double Dragon, grupa podejrzewana o powiązania z chińskim Ministerstwem Bezpieczeństwa Państwowego (MSS), zagraża przeciwnikom chińskiego rządu. Trellix (dawniej FireEye), firma zajmująca się cyberbezpieczeństwem, jest przekonana, że ci cybersmoki są wspierani przez Komunistyczną Partię Chin (KPCh).
Od lat Double Dragon prowadzi działania szpiegowskie, dążąc do osobistych korzyści. Ich celem są sektory takie jak opieka zdrowotna, telekomunikacja, technologia i branża gier (zarówno twórcy, jak i dystrybutorzy). Wydaje się, że wszyscy znajdują się w ich zasięgu.
To dopiero początek
Pamiętajmy, że świat cyberwojny nieustannie się zmienia. Powstają nowe grupy, stare upadają, a niektóre ewoluują. Jedno jest pewne: to niekończąca się gra w kotka i myszkę.
newsblog.pl