Krievijas hakeri, kas skāra 2016. gada vēlēšanas, kopš tā laika ir bijuši ļoti aizņemti

Kremlis

Kremlis Foto: Kremlis, Mariano Mantels CC BY NC 2.0





Kopš 2016. gada, kad viņi bija viena no grupām, kas bija iesaistītas bēdīgi slavenajā Demokrātu partijas nacionālās komitejas uzlaušanā, Krievijas izlūkdienestu hakeriem, kas pazīstami kā Cozy Bear, šī pēda lielākoties ir bijusi auksta.

Tomēr jauni pētījumi liecina, ka Cozy Bear (pazīstams arī kā hercogi) nekad nav pazudis. Lai gan viņiem izdevās palikt ārpus uzmanības centrā vairāk nekā divus gadus, grupa ir aktīvi iesaistījusies sešus gadus ilgā spiegošanas kampaņā, kuras mērķis ir vismaz trīs Eiropas valstu ārlietu ministrijas un Vašingtonas vēstniecība. Eiropas Savienības nācija, saskaņā ar jauns darbs Slovākijas kiberdrošības uzņēmums ESET.

Dažos no tiem pašiem uzlauztajiem datoriem tika atrastas divas citas uzlabotas hakeru grupas no Krievijas ar koda nosaukumiem Fancy Bear un Turla. Ir zināms, ka Krievijas hakeru grupas no dažādām valdības struktūrām — šajā gadījumā militārajām un izlūkošanas aģentūrām — agresīvi konkurē savā starpā, tiecoties pēc augstvērtīgiem mērķiem.



Cozy Bear neatlaidīgajā un rūpīgajā kampaņā pret virkni Eiropas politisko mērķu tiek izmantota jauna ļaunprogrammatūra un taktika, ko pētnieki dēvē par Operation Ghost — kampaņā, kuras saknes sākas 2013. gadā un ilgst vismaz līdz 2019. gada jūnijam.

Iekāpiet pa aizmugurējām durvīm: Hakeri parasti sāk uzbrukumu ar pikšķerēšanas e-pastiem — ziņojumiem, kas rūpīgi izstrādāti, lai pievilinātu ļoti konkrētus mērķus, lai tie noklikšķinātu uz ļaunprātīgām saitēm, uzsākot bīstamas programmatūras lejupielādes procesu, kas ļauj Cozy Bear kontrolēt galvenās iekārtas un kontus. Sīkāka informācija par to, kā hakeri sasniedz šo mērķi, liecina, ka viņi ir vieni no pasaules labākajiem savā darbā.

Kampaņā, kas galvenokārt tika veikta darba laikā Maskavas laika joslā, tika iesaistītas vairākas jaunas ļaunprātīgas programmatūras ģimenes, kuras tika atklātas šīs operācijas laikā.



Šī grupa ir īpaši izveidojusi jaunu ļaunprātīgas programmatūras saimi, kas pazīstama kā FatDuke, lai nodrošinātu slēptu un klusu aizmugures piekļuvi upura mašīnai, uzdodoties par mērķa pārlūkprogrammu līdz konkrētām detaļām, piemēram, izmantojot to pašu lietotāja aģentu, kas instalēts sistēmā.

Lūk, kā pētnieki izvirza hipotēzi, ka varētu izvērsties viena veida uzbrukums no operācijas Ghost: Mērķis, piemēram, Eiropas diplomāts, saņemtu e-pasta ziņojumu, kas īpaši izstrādāts, lai liktu viņai lejupielādēt ļaunprātīgu dokumentu. Šajā dokumentā būtu ietverta PolyglotDuke ļaunprātīga programmatūra, kuras mērķis ir slepus iekārtā instalēt citu ļaunprātīgu programmatūru. Lai to izdarītu, ļaunprātīga programmatūra apskata iepriekš noteiktus ziņojumus tādās populārās vietnēs kā Reddit, kas izskatās kā parasta interneta trafika. Tiek lejupielādēts attēls, kurā tiek izmantota taktika, ko sauc par steganogrāfiju, kas smalki maina attēla failu, lai paslēptu kodētos datus, tostarp papildu lietderīgās slodzes. Pēkšņi parasta izskata fotoattēli satur ļaunprātīgu un gandrīz neredzamu kodu.

Viņi instalēs MiniDuke aizmugures durvis un pēc tam kā trešais posms visinteresantāko un svarīgāko mērķu rokasgrāmatā pāriet uz FatDuke. Veiksmīga FatDuke izvietošana, ko sauc par pašreizējo vadošo aizmugures durvīm, ko izmanto Dukes, nozīmē, ka cīņa ir beigusies.



Guļus zemu: Izņēmums šajā grupā un kampaņā ir arī veids, kā operācijas tīkla infrastruktūra tika veidota no jauna katram upurim.

Šāda veida sadalīšanu parasti redz tikai visprecīzākie uzbrucēji, sacīja ESET pētnieki Metjū Fao, Matjē Tartars un Tomass Dupejs. jaunais ziņojums . “Tas novērš visas operācijas sadedzināšanu, kad viens upuris atklāj infekciju un koplieto saistīto tīklu [kompromisa indikatorus] ar drošības kopienu.

Cozy Bear ir aktīvi darbojies vairāk nekā desmit gadus.



Mūsu jaunie pētījumi liecina, ka pat tad, ja spiegošanas grupa daudzus gadus pazūd no publiskajiem ziņojumiem, tā var nebūt pārtraukusi spiegošanu, raksta pētnieki. Cozy Bear daudzus gadus varēja lidot zem radara, vienlaikus apdraudot augstvērtīgus mērķus, tāpat kā iepriekš.

paslēpties