Campania, botezată „PCPJack” de către Alex Delamotte, cercetătoarea principală de la SentinelOne care a descoperit-o, reprezintă un fenomen rar în peisajul amenințărilor cibernetice. Deși nu este complet nou – există precedente de grupuri care se atacă între ele – modul în care se desfășoară această operațiune este deosebit de sofisticat. Hackerii nu doar că pătrund în sistemele deja sparte de TeamPCP, dar scanează și internetul în căutarea unor servicii expuse, cum ar fi platforma de mașini virtuale Docker sau bazele de date MongoDB. Cu toate acestea, SentinelOne subliniază că grupul pare concentrat în principal pe țintirea TeamPCP.
TeamPCP este un grup de criminali cibernetici care a făcut titluri de presă în ultimele săptămâni datorită unor atacuri de amploare. Printre acestea se numără spargerea infrastructurii cloud a Comisiei Europene și un atac cibernetic masiv împotriva instrumentului de scanare a vulnerabilităților Trivvy, care a afectat companii precum LiteLLM și startup-ul de recrutare AI Mercor. Aceste atacuri au atras atenția autorităților și a comunității de securitate, dar acum se pare că TeamPCP însuși a devenit ținta unor rivali.
Cine se află în spatele PCPJack? Alex Delamotte a declarat pentru TechCrunch că există trei teorii principale. Prima: ar putea fi foști membri nemulțumiți ai TeamPCP, care și-au folosit cunoștințele pentru a se întoarce împotriva fostului grup. A doua: un grup rival care încearcă să elimine concurența. A treia: o terță parte care „a ales să-și modeleze direct uneltele de atac pe baza campaniilor anterioare ale TeamPCP”, multe dintre acestea vizând infrastructura cloud. Delamotte a observat că serviciile vizate de PCPJack seamănă puternic cu cele atacate de TeamPCP în decembrie-ianuarie, înainte de o presupusă schimbare în componența grupului, care ar fi avut loc în februarie-martie.
Modul de operare al PCPJack este fascinant. Odată ce pătrund într-un sistem, hackerii implementează un cod care se răspândește ca un vierme autopropagator prin infrastructura cloud. Acest cod fură diverse tipuri de acreditări – parole, token-uri de autentificare, chei API – și le trimite către infrastructura proprie. Potrivit raportului, uneltele hackerilor țin chiar o evidență a numărului de ținte unde au reușit să evacueze TeamPCP, trimițând aceste informații înapoi la centrul de comandă.
Scopul final al atacatorilor pare a fi pur financiar. Ei nu încearcă să instaleze software de minare de criptomonede pe sistemele compromise, probabil pentru că această strategie necesită mai mult timp pentru a aduce profituri, explică Delamotte. În schimb, ei monetizează acreditările furate prin revânzare, prin vânzarea accesului la sistemele sparte (ca așa-numiți „brokeri de acces inițial”) sau prin șantaj direct asupra victimelor. În cadrul unora dintre atacuri, hackerii folosesc domenii care sugerează că încearcă să pescuiască acreditări de la manageri de parole, precum și site-uri false de tip help desk.
Această campanie ridică întrebări importante despre ecosistemul criminalității cibernetice. Dacă până acum ne concentram pe apărarea împotriva atacatorilor externi, acum vedem că și infractorii cibernetici trebuie să se teamă de proprii lor colegi. Este un semn că piața neagră a datelor și accesului devine tot mai competitivă, iar „prădătorii” devin ei înșiși pradă. Pentru companii și utilizatori, aceasta poate fi o veste bună pe termen scurt – dacă un grup elimină altul, poate reduce temporar amenințările. Dar pe termen lung, fragmentarea și rivalitățile dintre grupuri pot duce la apariția unor tactici și mai agresive.
De asemenea, este interesant de observat cum PCPJack nu se limitează doar la sistemele TeamPCP, ci scanează activ internetul pentru servicii expuse. Asta înseamnă că orice organizație care își lasă infrastructura neprotejată – fie că este vorba de un Docker deschis, o bază MongoDB fără parolă sau un server cloud prost configurat – poate deveni o țintă colaterală. Chiar dacă nu au fost compromise inițial de TeamPCP, aceste sisteme sunt vulnerabile la PCPJack.
SentinelOne nu a dezvăluit încă amploarea completă a campaniei, dar cercetările continuă. Deocamdată, recomandările pentru companii rămân aceleași: actualizarea regulată a software-ului, utilizarea autentificării multifactor, monitorizarea atentă a acceselor neobișnuite și, mai ales, securizarea serviciilor expuse pe internet. Într-o lume unde chiar și hackerii se sparg între ei, nimeni nu este complet în siguranță.
De ce este important:
Această campanie demonstrează că peisajul amenințărilor cibernetice este mult mai complex decât o simplă luptă între „buni” și „răi”. Hackerii care atacă alți hackeri pot perturba rețelele criminale, dar pot și crea noi riscuri pentru organizațiile care devin victime colaterale. Înțelegerea acestor dinamici ajută companiile să își ajusteze strategiile de securitate, să fie conștiente că un sistem compromis poate fi preluat de mai mulți actori și să își protejeze mai bine datele. De asemenea, subliniază importanța securizării infrastructurii cloud și a serviciilor expuse, deoarece acestea sunt ținte ușoare nu doar pentru grupuri consacrate, ci și pentru rivalii lor.
