Valget blande sig: Hvordan gør vi stop Rusland?
USA kæmper for at finde en måde at afskrække hacking og andre forstyrrelser.
En russisk cyber spionage operation, som var en af de grupper, der hacket sig ind Demokratiske Nationale Komité i tiden op til 2016 Præsidentvalget i USA har haft travlt med angrebene mod offentlige myndigheder i hele europa og uden for Europa.
Den Hyggelige Bjørn hacking gruppen – også kendt som APT29 – menes at være forbundet med den russiske efterretningstjeneste, og at de, sammen med de russiske militære hacking gruppen Lyst til at Bære, var involveret i en række højt profilerede angreb mellem 2014 og 2017.
I tiden siden da, Hyggelige Bjørn syntes at gå stille for sig, men nu cyber-sikkerhed analytikere hos ESET har beskrevet, hvordan gruppen – som de henviser til, som Dukes – har fortsat deres aktivitet, mens du forsøger at holde sig under radaren.
Den nyligt afslørede kampagne – døbt Operation Ghost af forskere i gang i 2013, og fortsatte ind i 2019, betyder, at gruppen aldrig har stoppet sin spionage aktivitet.
I angreb med fire nye familier af malware, Hyggelige Bjørn har målrettet på udenrigsministerierne i mindst tre forskellige lande i Europa, samt den AMERIKANSKE ambassade i et Eu-land i Washington DC.
Forskere har tilskrevet Operation Ghost Hyggeligt at Bære, fordi de angreb, der er brug bagdør for malware, der er forbundet med tidligere aktivitet, som gruppen – MiniDuke – selv om denne version ser ud til at have været opdateret. Gruppen ser også ud til at det meste aktive i arbejdstiden i Rusland, med lejlighedsvis aktivitet på nat-tid.
Ligesom andre kampagner af Hyggelige Bjørn, angreb begynder med målrettede spear-phishing-e-mails, der er designet til at lokke ofrene til at klikke på et skadeligt link eller downloade malware via en vedhæftet fil – men den oprindelige kompromis e-mails endnu ikke er blevet identificeret.
SE: russiske hackere Kan stoppes? Her er, hvorfor det kan tage 20 år (TechRepublic dække historien) | download PDF-versionen.
Fra der, de angribere, stjæle login-oplysninger for at vandre på tværs af netværk, ofte udnyttelse af admin-legitimationsoplysningerne til at gøre det.
Kampagnerne også bruge tre nye familier af malware til at hjælpe med at udføre operationer på kompromitterede systemer, som forskerne har kaldt PolyglotDuke, RegDuke og FatDuke.
PolyglotDuke bruger Twitter, Reddit, Imgur og andre hjemmesider til at linke til deres kommando og kontrol (C&C) infrastruktur, så de angribere til at undgå lagring af disse oplysninger på malware – noget som kan være nyttige for at undgå afsløring.
“Automatiserede systemer, vil mindre sandsynligt, flag, en eksekverbar som skadelig, hvis den kun indeholder Webadresser for legitime websteder. Desuden, hvis malware er udført i en sandkasse, uden adgang til internettet, det vil ikke udfører nogen ondsindede aktivitet, som det ikke kan nå til en C&C server,” Matthieu Faou, ESET malware forsker og forfatter af den forskning, der fortalte ZDNet.
“Endelig, det giver angribere mulighed for let at opdatere C&C-URL, som de bare nødt til at erstatte den besked,” tilføjede han.
I mellemtiden, RegDuke indeholder de vigtigste nyttelast og gemmer det på Windows-registreringsdatabasen mens også anvende stenography at holde skjult. Den tredje nye malware familie er FatDuke, noget, som forskere beskriver som en sofistikeret bagdør med evnen til at stjæle login-oplysninger og andre private data i forbindelse med spionage – aktiviteter- især mod høj placering på ministerier.
“Disse organisationer typisk beskæftige sig med meget følsomme dokumenter om national eller global politik. Derfor, ud fra en spionage perspektiv, de er meget værdifulde mål,” sagde Faou.
ESET rapport fastslår, at forskere vil fortsætte med at overvåge aktiviteten af Hertuger og en liste af Indikatorer for Kompromis, der er blevet indsendt til GitHub til at hjælpe potentielle ofre detektere angreb.
Forskere advarer også om, at bare fordi en APT trussel gruppe synes at have gået mørke, det betyder ikke, at de har stoppet spionage aktivitet – ja, meget karakter af spionage betyder, at de laver alt, hvad de kan for at undgå afsløring. Og mens grupper som Hyggelige Bjørn kan lejlighedsvis pause aktivitet, er det i sidste ende er deres job at udføre spionage, på alle tidspunkter – så gruppen vil vende tilbage igen i fremtiden.
“Vi kan forvente dem til at udvikle nye værktøjer til at være i stand til at re-starte deres angreb i de næste uger eller måneder,” sagde Faou.
LÆS MERE OM IT-SIKKERHED
Russiske hackere forsøger sig med dette nye malware mod AMERIKANSKE og Europæiske målat Visualisere den russiske cyberattack TechRepublicDe hackere, der aldrig gik væk: Bandage for mere stats-støttede angreb, lækager og medløbere i årDNC siger, at russiske hackere ramte den med phishing-forsøg efter midterms CNETNu russiske hackere bruger Brexit som en del af deres cyber-angreb
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre