Od niedawna osoby działające w dark webie, czy darknecie, mają jeszcze jedno zmartwienie: jak uniknąć złapania przez organy ścigania. Śledzenie nielegalnych działań w dark web to gra w kotka i myszkę dla władz, ale w końcu często udaje się złapać przeciwników i przejąć pieniądze. Na przykład w noc wyborów prezydenckich w 2020 r. amerykańskim urzędnikom rządowym udało się opróżnić portfel Bitcoin o wartości 1 mld dol., w którym znajdowały się środki powiązane z Silk Road, siedem lat po zamknięciu tego rynku. Silk Road był popularnym podziemnym rynkiem handlującym nielegalnymi towarami i usługami, takimi jak: narkotyki, hakerzy do wynajęcia i zabójstwa na zlecenie.

Oszustwa związane z zamykaniem grup cyberprzestępczych

Tego rodzaju wydarzenia zmuszają cyberprzestępców do opracowywania nowych strategii, które czasami polegają na zamknięciu sklepu i spieniężeniu środków, zanim znajdą się na radarze służb. W październiku 2020 r. grupa Maze, specjalizująca się w ransomware, która włamała się do setek firm, w tym Xerox, LG i Canon, zamknęła się w ciągu sześciu tygodni, twierdząc, że wycofała się z działalności. Jednak eksperci sugerują, że jest to prawdopodobnie tylko działanie fasadowe. Specjaliści oprogramowania ransomware często zamykają jedną operację, aby dołączyć do innej, zamiast całkowicie zakończyć działalność.

Zobacz również:

• Grupa Medusa zwiększa aktywność ransomware
• IBM Security QRadar SIEM pomoże zarządzić globalną strukturą odpowiedzialną za bezpieczeństwo

„W ostatnich latach ciemna sieć zmieniła się diametralnie, organicznie, ze względu na zwiększone wykorzystanie anonimowych forów i rynków przez zorganizowane organizacje przestępcze, zwiększoną obecność młodych, zainspirowanych YouTubem 'przestępczych wannabes' i zwiększoną obecność organów ścigania i ich próby infiltracji, deanonimizacji i likwidacji takich grup i ukrytych usług” – mówi Mark Turnage, dyrektor generalny DarkOwl, wyszukiwarki ciemnej sieci.

Ciemna sieć staje się kanałem rekrutacyjnym

Według Marka Turnage'a, ciemna sieć stała się pośrednikiem – cyberprzestępcy wchodzą w krótkie, niepozorne interakcje, aby pozyskać nowych członków dla swojej grupy. Następnie przenoszą komunikację na prywatne, szyfrowane kanały, takie jak: Telegram, Jabber i WickR. „Twórcy złośliwego oprogramowania i przestępcy zajmujący się oszustwami finansowymi w mniejszym stopniu korzystają z darknetu do dystrybucji swoich exploitów, a zamiast tego korzystają z forów black hat w deepnecie i darknecie, aby ugruntować swoją markę, zyskać wpływy w społeczności i rekrutować nowych członków" – mówi Mark Turnage. „Wiele organizacji przestępczych wykorzystuje ciemną sieć jedynie do sprawdzania potencjalnych partnerów, szczególnie w branży ransomware-as-a-service, oraz ich [współsprawców]".

Mark Turnage obserwował, jak bardziej obeznani technicznie przestępcy zwiększają wykorzystanie alternatywnych zdecentralizowanych ciemnych sieci i meshnetów, takich jak Lokinet i Yggdrasil. Przypisuje to krótkiemu okresowi życia darknetowych rynków i usług w sieci Tor oraz przejęciom serwerów przez globalnie skoordynowane organy ścigania.

Przeniesienie rynków z węzłów sieci Tor do prywatnych serwisów komunikacyjnych może również przynieść korzyści techniczne, takie jak ochrona przed DDoS. Techniczne zabezpieczenia mogą zwabić administratorów ciemnej sieci, ponieważ podziemne rynki zostały zmuszone do zamknięcia się po atakach DDoS innych cyberprzestępców i próbach wymuszeń. Nagłe opuszczenie Empire spowodowało również, że jego tzw. gwarancja „escrow” stała się nieważna, co skłoniło niektórych do nazwania zamknięcia „oszustwem przy wychodzeniu".

Przerzucając użytkowników na legalne, szyfrowane end-to-end usługi komunikacyjne, cyberprzestępcy wykorzystują niezawodną, rozproszoną infrastrukturę tych platform, zachowując dyskrecję i unikając kontroli organów ścigania. Co prawda, platformy komunikacyjne takie jak Telegram mogą nie być całkowicie odporne na ataki DDoS, jednak ochrona przed atakami staje się obowiązkiem właścicieli platform, a nie operacji dark web.

Wykorzystanie podziemnych plotek do gromadzenia informacji

Według Raveeda Laeba, menedżera produktu w KELA, dzisiejsza ciemna sieć reprezentuje szeroką gamę towarów i usług. Chociaż tradycyjnie koncentrowała się na forach, komunikacja i transakcje w dark web przeniosły się na inne nośniki, w tym platformy IM, sklepy automatyczne i zamknięte społeczności. Za pośrednictwem tych mediów uczestnicy dzielą się tajnymi informacjami wywiadowczymi na temat zagrożonych sieci, skradzionych danych, wyciekłych baz vdanych i innych produktów cyberprzestępczości, na których można zarobić.

„Zmiany na rynku koncentrują się na automatyzacji i modelach subskrypcji, których celem jest wspomaganie rozwoju biznesu cyberprzestępczego w odpowiedniej skali" – mówi Raveed Laeb. „Można zaobserwować gwałtowny wzrost liczby ataków ransomware, wykorzystujących podziemny ekosystem finansowy, rynki cyberprzestępcze umożliwiają swoim podmiotom bezproblemowe tworzenie łańcucha dostaw, który wspiera zdecentralizowane i skuteczne włamania, dając atakującym ogromną przewagę".

Z drugiej strony, specjaliści ds. bezpieczeństwa i analitycy zagrożeń mogą wykorzystać te informacje, aby zidentyfikować i załatać słabe punkty systemu, zanim twórcy zagrożeń zdołają je wykorzystać. „Obrońcy mogą wykorzystać te silne i dynamiczne ekosystemy poprzez uzyskanie wglądu w wewnętrzne funkcjonowanie podziemnego ekosystemu – umożliwiając im śledzenie tych samych podatności i kompromisów, które byłyby wykorzystywane przez podmioty stanowiące zagrożenie, oraz naprawianie ich zanim zostaną wykorzystane" – mówi Raveed Laeb.

Można to zrobić poprzez monitorowanie forów i witryn darknetu, na których najprawdopodobniej czają się autorzy zagrożeń, omawiają nadchodzące ataki i wystawiają exploity na sprzedaż. Na przykład niedawno haker opublikował na forum exploity dla ponad 49 000 podatnych na ataki sieci VPN firmy Fortinet, z których część należała do znanych firm telekomunikacyjnych, banków i organizacji rządowych. Po tym wydarzeniu pojawił się drugi wpis na forum – inny uczestnik ujawnił dane uwierzytelniające do wszystkich urządzeń VPN, które mogą zostać wykorzystane przez każdego cyberprzestępcę. Mimo że omawiana luka to dwuletni błąd, który prawdopodobnie nie znajduje się już na niczyim celowniku, tysiące korporacyjnych sieci VPN obecnych na liście pozostało podatnych na ten krytyczny problem.

Wchodzenie na takie fora i monitorowanie tego typu informacji może dać sygnał zespołom bezpieczeństwa w organizacjach, aby zrobiły wszystko, co w ich mocy, by dowiedzieć się, gdzie przeciwnicy mogą uderzyć w przyszłości.

Śledzenie nielegalnej aktywności pod przykrywką legalnych programów

Grupy APT (Advanced Persistent Threat) wykorzystują obecnie ciemną sieć do gromadzenia wiedzy na temat swoich celów, a następnie wykorzystują legalne protokoły sieciowe i programy w celu ukrytej eksfiltracji danych. „W przeszłości organizacje zazwyczaj przejmowały się jedynie własnymi danymi pojawiającymi się w ciemnej sieci i alarmowały tylko wtedy, gdy znajdowały się w niej istotne dane. Jednak wiele chińskich i rosyjskich grup typu advanced persistent threat, wspieranych przez państwa narodowe, wykorzystuje obecnie ciemną sieć do przeprowadzania rekonesansu potencjalnych celów, a następnie zapewnia przykrywkę dla eksfiltracji danych" – mówi Vince Warrington, dyrektor generalny Dark Intelligence.

„Od początku 2020 r. wykorzystanie SSH przez te grupy APT wzrosło o ponad 200%. Nasze badania wskazały, że grupy APT używają SSH przez port 22 do niezauważonej infiltracji organizacji, a po wejściu do środka wykorzystują słabo monitorowane i utrzymywane systemy, zwłaszcza przemysłowe systemy sterowania, do kradzieży znacznych ilości danych. Przypuszcza się, że kilka ostatnich ataków wykradło ponad 1 terabajt danych z pojedynczych firm – jest to ogromna ilość, której organizacje nie są w stanie wykryć, ponieważ nie mogą skutecznie monitorować połączeń darknet" - mówi Warrington.

Ta teza została potwierdzona przez odkrycie niedawno ogromnego ataku na łańcuch dostaw SolarWinds, przypisywanego rosyjskiej grupie szpiegowskiej APT29, znanej jako Cozy Bear. Wykorzystując zaufanie do legalnego programu takiego jak SolarWinds Orion i jego bezpiecznych kanałów aktualizacji (lub protokołów), wyrafinowani napastnicy zdołali po cichu włamać się do ponad 18 000 z 300 000 klientów SolarWinds i pozostali niewykryci przez miesiące. Ich wrogie działania prowadzone w ramach ataku mogły obejmować ukrytą inwigilację i eksfiltrację danych, nie pozostawiając widocznych śladów.

Analitycy zagrożeń i badacze bezpieczeństwa są zachęcani do przewartościowania swoich strategii monitorowania. Zamiast skupiać się na wykrywaniu anomalii w sieciach korporacyjnych, takich jak obce IP i dziwne numery portów, lub czekać, aż zastrzeżone dane pojawią się w dark webie, warto monitorować godne zaufania programy i usługi, w tym ich aktualizacje bezpieczeństwa, a także łańcuchy dostaw oprogramowania w organizacji, gdzie autorzy zagrożeń mogą ukrywać się niezauważeni.

Artykuł pochodzi z CSO