Positive Technologies uzmanları, son 10 yılın en ünlü rootkit ailelerini analiz etti.
Araştırmacılar, rootkit'lerin en yaygın kötü amaçlı yazılım olmadığını ve kural olarak tespit edilme durumlarının rezonans sonuçları olan yüksek profilli saldırılara atıfta bulunduğunu belirtiyor. Bu araçlar genellikle ağ trafiğini engelleyen, kullanıcıları gözetleyen, kimlik doğrulama bilgilerini çalan veya DDoS saldırıları gerçekleştirmek için kurban kaynaklarını kullanan güçlü kötü amaçlı yazılımların bir parçasıdır. Positive Technologies'de bir rootkit kullanmanın en ünlü örneği, 2010 yılında temel amacı İran'ın nükleer programının gelişimini durdurmak olan Stuxnet dağıtım kampanyasıdır.
Analistler, rootkit'lerin %77'sinin suçlular tarafından casusluk için kullanıldığını ve vakaların %44'ünün devlet kurumlarına yönelik saldırılarda kullanıldığını buldu. Araştırma enstitülerine saldırmak için biraz daha az sıklıkla (vakaların %38'i) kötü amaçlı yazılım kullanıldı. Uzmanlar, bu hedeflerin seçimini, bilgisayar korsanlarının rootkit'leri dağıtmalarının ana nedeni olan veri elde etmeyle ilişkilendiriyor.
Bu kuruluşlar tarafından işlenen bilgiler, saldırganlar için çok değerlidir. Ankete göre, rootkit'lerin en çok saldırdığı ilk 5 sektör arasında telekom (%25), endüstri (%19) ve finans kurumları da (%19) yer alıyor. Ayrıca, rootkit'lerin yarısından fazlası (%56) bilgisayar korsanları tarafından bireylere saldırmak için kullanılıyor. Bunlar esas olarak üst düzey yetkililere, diplomatlara ve hedeflenen kuruluşların çalışanlarına yönelik siber casusluk kampanyaları çerçevesinde hedeflenen saldırılardır.
“Rootkit'leri, özellikle de kernel modunda çalışanlarını geliştirmek çok zordur, bu nedenle ya böyle bir araç geliştirme becerisine sahip yüksek nitelikli APT grupları tarafından ya da finansal yetenekleri gölge piyasada rootkit satın almaya izin veren gruplar tarafından kullanılırlar. ” diye açıklıyor Positive Technologies analisti Yana Yurakova ... - Bu seviyedeki saldırganların temel amacı siber casusluk ve veri toplamadır. Bunlar, hem büyük miktarlarda para çalan finansal olarak motive olmuş suçlular hem de müşterilerin çıkarları için kurbanın altyapısında bilgi çıkaran ve yıkıcı eylemler gerçekleştiren gruplar olabilir."
Analiz, vakaların %77'sinde rootkit'lerin siber suçlular tarafından veri elde etmek için, vakaların yaklaşık üçte birinde (%31) finansal kazanç elde etmek için kullanıldığını ve yalnızca saldırıların %15'inde uzmanlar tarafından istismarın nedeninin belirtildiğini gösterdi. sonraki saldırılar için kurban şirketin altyapısı.
Darknet, toplu saldırılarda yaygın olarak kullanılan kullanıcı düzeyindeki rootkit'lerin satışına yönelik reklamların hakimiyetindedir. Uzmanlara göre, hazır bir rootkit'in maliyeti 45 ila 100.000 ABD doları arasında değişmektedir ve çalışma moduna, hedef işletim sistemine, kullanım koşullarına (örneğin, kötü amaçlı yazılım bir aylığına kiralanabilir) ve ek işlevlere (çoğu) bağlıdır. genellikle uzaktan erişim ve dosyaları, işlemleri ve ağ etkinliğini gizleme isterler).
