Atacatorii cibernetici își actualizează în mod constant tacticile, tehnicile și procedurile utilizate pentru derularea unor atacuri din ce în ce mai complexe, care pot provoca prejudicii de imagine, financiare sau chiar strategice victimelor. Comunicarea și interacțiunea între membrii comunităților de hacking la nivel internațional le permit acestora să fie la curent cu ultimele evoluții din domeniu și să își pună în practică planurile de atac cibernetic. Forumurile de criminalitate cibernetică reprezintă mediul ideal pentru actorii cibernetici, întrucât aceștia pot interacționa sub protecția anonimatului, pot oferi spre comercializare aplicații malware, unelte, vulnerabilități descoperite sau pot recruta alți membri în vederea organizării și derulării unor campanii cibernetice ample.
Astfel de forumuri reprezintă medii ermetice, regăsite de obicei la nivelul Dark Web, în cadrul cărora membrii sunt organizați în funcție de vechime, notorietate sau funcția pe care o dețin în cadrul grupului. Accesul noilor membri într-un astfel de mediu poate fi restricționat după criterii precum limba vorbită, cunoștințele în materie de hacking sau chiar istoricul atacurilor derulate. În unele situații sunt solicitate inclusiv sume de bani sau susținerea unui interviu cu administratorii forumului, prin care potențialul candidat demonstrează că merită să devină membru al comunității respective.
Catalizatorul criminalității cibernetice
Activitățile întreprinse de membrii forumurilor de criminalitate cibernetică vizează afectarea confidențialității, integrității și disponibilității datelor ce aparțin atât cetățenilor, cât și entităților publice sau private în scopul obținerii de beneficii financiare. Forumurile de criminalitate cibernetică pot fi considerate un element catalizator al acestor activități, întrucât în astfel de medii sunt puse la dispoziție resursele necesare pentru derularea unor atacuri cibernetice.
În ceea ce privește serviciile disponibile la nivelul forumurilor de criminalitate cibernetică, acestea variază, fiind puse la dispoziție resursele necesare pentru toate etapele unui atac cibernetic. Fie că este vorba despre închirierea unor infrastructuri IT&C ce pot fi utilizate în cadrul unor atacuri cibernetice, comercializarea unor aplicații malware în regim Cybercrime-as-a-Service (expertiză, servicii și instrumente oferite contra cost) sau unelte și mecanisme ce pot fi utilizate în etapele avansate ale unui atac, toate acestea sunt puse la dispoziția actorilor cibernetici, care le pot achiziționa din cadrul acestor forumuri. În vederea păstrării anonimității vânzătorilor și cumpărătorilor, tranzacțiile sunt realizate prin intermediul monedelor virtuale (Bitcoin, Monero etc.).
Cum funcționează ecosistemul Dark Web
Comercializarea aplicațiilor malware la nivelul forumurilor de criminalitate cibernetică reprezintă un avantaj pentru actorii cibernetici care fac parte din acea comunitate, întrucât le permite acestora achiziția unor aplicații gata făcute, scutindu-i de efortul dezvoltării altora, de la zero. În același timp, comercializarea constantă a unor aplicații malware către actori cibernetici ce dețin capabilități și cunoștințe avansate conduce inclusiv la dezvoltarea unor variante noi ale aceleiași aplicații, mai eficiente și adaptate ultimelor actualizări de securitate.
Din perspectiva serviciilor comercializate la nivelul forumurilor de criminalitate cibernetică, a căpătat relevanță o categorie de actori cibernetici transformată, în timp, într-o componentă esențială a ecosistemului cybercrime: brokeri de acces inițial, cunoscuți în mediile experților în securitate cibernetică sub denumirea de Initial Access Brokers (IABs). Aceștia sunt organizați, de regulă, în grupări care urmăresc compromiterea inițială a sistemelor informatice din cadrul unor entități private sau publice. În urma obținerii accesului inițial, aceștia oferă spre vânzare informațiile care permit pătrunderea în sistemele informatice compromise în schimbul unor beneficii financiare. Există inclusiv situații în care brokerii de acces colaborează cu alte grupări de criminalitate cibernetică în vederea derulării unor campanii ample, în cadrul cărora fiecare grupare deține un rol bine definit.
De asemenea, forumurile de criminalitate cibernetică sunt utilizate de grupări care caută să recruteze noi membri. Astfel de anunțuri sunt frecvent întâlnite, procesul fiind similar candidaturii pentru un loc de muncă. Mai exact, gruparea publică pe internet cerințele pe care trebuie să le îndeplinească un candidat, abilitățile pe care acesta trebuie să le dețină, dar și sumele pe care le poate câștiga prin derularea unor atacuri cibernetice. Întrucât beneficiile financiare obținute în urma activităților din sfera criminalității cibernetice sunt ridicate, membrii forumurilor aleg să se înscrie în cursa pentru astfel de poziții în cadrul grupărilor consacrate pentru a-și spori veniturile și pentru a evita responsabilitatea unui atac pe cont propriu.
Oportunități pentru specialiști
Pe lângă amenințările pe care forumurile de criminalitate cibernetică le pot genera prin favorizarea infracțiunilor în spațiul virtual, există și o serie de avantaje care decurg din posibilitatea exploatării conținutului, produselor și serviciilor disponibile în această parte neindexată a internetului. Astfel, utilizatorii experimentați care adoptă toate măsurile de precauție necesare pentru anonimizare pot accesa aceste de medii ermetice, de unde pot obține date pe care să le folosească în scopuri benefice și constructive.
În cazul comunităților orientate către activitățile din domeniul cybercrime, aplicațiile malware, tacticile, tehnicile și procedurile disponibile pot fi accesate atât de indivizi cu intenții ostile, cât și de către specialiști în securitate cibernetică interesați de noutățile din acest domeniu. Întrucât interacțiunile se petrec între două entități care își cunosc doar identitatea virtuală, motivația cumpărătorului și intențiile acestuia nu atrag îngrădirea accesului la resursele disponibile.
Astfel, specialiștii în securitate cibernetică au acces la aplicații malware pe care le pot testa în medii controlate, pentru a preveni transformarea sistemelor pe care le protejează în victime ale atacurilor cibernetice. Cunoașterea modului în care o aplicație malware funcționează îi poate permite unui specialist să adopte o serie de măsuri proactive specifice acelui tip de amenințare. Ulterior, în eventualitatea unei agresiuni cibernetice, efectele acesteia ar putea fi limitate datorită datelor obținute în prealabil, care au permis creșterea nivelului de reziliență a infrastructurii IT&C atacate.
De asemenea, accesul în forumurile de criminalitate cibernetică permite identificarea principalelor tendințe ale atacatorilor în ceea ce privește atât dezvoltarea, cât și tranzacționarea aplicațiilor malware existente. Cu alte cuvinte, analiza produselor disponibile într-un anumit interval de timp poate releva care vor fi cele mai frecvente tipuri de atacuri cibernetice din perioada următoare. Cunoașterea acestor elemente poate fundamenta inițiativele de conștientizare a publicului cu privire la posibilitatea inițierii unor campanii de atacuri cibernetice, concomitent cu adoptarea unor măsuri menite să crească nivelul de reziliență.
Ținte și planuri de atac
Informațiile vehiculate în cadrul acestor forumuri prezintă interes și pentru autoritățile cu atribuții în domeniul securității cibernetice. Din această perspectivă, utilizatorii forumurilor, produsele disponibile și tutorialele existente oferă indicii ce pot fundamenta decizii în cadrul unor investigații derulate de autoritățile cu atribuții în domeniul securității cibernetice. Spre exemplu, plecând de la un simplu nume de utilizator, investigatorii pot ajunge la persoana care se află în spatele unei campanii de atacuri cibernetice.
De asemenea, infiltrarea în aceste medii și apropierea de utilizatori cu interese aparent comune le pot asigura investigatorilor un avantaj strategic. Odată obținut accesul în mediul de interes, pot fi remediate, încă din faza incipientă, diverse vulnerabilități de securitate cibernetică sesizate și popularizate de ceilalți membri ai forumului. De asemenea, pot fi inițiate discuții cu alți membri pentru a face schimb de cunoștințe în vederea înțelegerii modului în care aceștia gândesc diverse etape ale unui atac cibernetic.
Pe forumurile de criminalitate cibernetică se regăsesc inclusiv anunțuri referitoare la intenția unui grup de a ataca o anumită infrastructură IT&C și încercarea acestuia de a obține mai multe date despre victimă. În astfel de situații, autoritățile competente pot lua măsuri de protejare suplimentară a rețelelor și echipamentelor țintă.
Din perspectiva oportunităților, forumurile de criminalitate cibernetică reprezintă medii ce permit obținerea de date valoroase, atât pentru înțelegerea modului în care adversarul acționează sau a tacticilor pe care acesta le folosește, cât și pentru cunoașterea ultimelor tendințe în materie de amenințări cibernetice. Cu toate acestea, astfel de forumuri continuă să reprezinte medii ostile, în cadrul cărora actorii cibernetici desfășoară activități specifice comunității de hacking, care pot conduce inclusiv la materializarea unor atacuri cibernetice asupra celor care încearcă să le acceseze.
Abstract
Cybercrime forums can be seen as both a threat and an opportunity, depending on the side of the coin that we choose to look at. On one hand, hackers use these platforms to buy or sell malicious applications that can be exploited in cyber-attacks or interact within these forums in order to organize and conduct cyber campaigns together. On the other hand, authorities can use cybercrime forums as an opportunity to complete their investigations or to keep up with the latest methods used by hackers.
Autori: Sebastian Suciu și Cătălin Panait
