Elezione intromissione: Come si fa a smettere di Russia?
Il NOI sta lottando per trovare un modo per scoraggiare la pirateria e altre interferenze.
Un russo di cyber spionaggio operazione che era uno dei gruppi che si è introdotto in Comitato Nazionale Democratico, nel periodo fino al 2016 per le elezioni Presidenziali americane è stato impegnato con gli attacchi contro i dipartimenti del governo in tutta Europa e oltre.
L’Accogliente Orso gruppo di hacker noto anche come APT29 – è creduto per essere associato con il servizio di intelligence russo e, a fianco di militari russi gruppo di hacker Fantasia Orso, è stato coinvolto in una serie di attacchi di alto profilo tra il 2014 e il 2017.
Da quando, poi, Accogliente Orso sembrava vai tranquillo, ma ora cyber security analisti di ESET sono dettagliate come il gruppo – che si riferiscono a come Duchi – hanno continuato la loro attività durante il tentativo di rimanere sotto il radar.
Appena scoperto di campagna, soprannominata Operazione Fantasma dai ricercatori – è iniziato nel 2013 e proseguita fino al 2019, il che significa che il gruppo non ha mai smesso la sua attività di spionaggio.
In attacchi con quattro nuove famiglie di malware, Accogliente Orso ha mirato presso i ministeri degli affari esteri in almeno tre diversi paesi in Europa, così come l’ambasciata di un paese dell’Unione Europea a Washington DC.
I ricercatori hanno attribuito Operazione Ghost Accogliente Orso perché gli attacchi di utilizzare malware backdoor associati con la precedente attività del gruppo – MiniDuke – anche se questa versione sembra essere stato aggiornato. Il gruppo, inoltre, appare per lo più attivo durante le ore di lavoro in Russia, con attività occasionale di notte.
Come altre campagne Accogliente Orso, attacchi di iniziare con mirati di spear-phishing, progettato per attirare le vittime a fare clic su un collegamento dannoso o il download di malware tramite un allegato – tuttavia, l’iniziale compromesso e-mail non sono ancora stati identificati.
VEDERE: Può hacker russi e di essere arrestato? Ecco perché si potrebbe prendere 20 anni (TechRepublic storia di copertina) | scarica la versione PDF
Da lì, l’hacker di rubare i dati di accesso a vagare attraverso le reti, spesso sfruttando le credenziali di amministratore per farlo.
Le campagne di utilizzare anche tre nuove famiglie di malware per aiutare a condurre le operazioni su sistemi compromessi, che i ricercatori hanno chiamato PolyglotDuke, RegDuke e FatDuke.
PolyglotDuke utilizza Twitter, Reddit, Imgur e altri siti di link al loro comando e controllo (C&C) infrastruttura in modo che gli attaccanti di evitare la memorizzazione di queste informazioni nel malware – qualcosa che può essere utile per evitare il rilevamento.
“Sistemi automatizzati saranno meno probabilità di bandiera un eseguibile dannoso se contiene solo gli Url di siti web legittimi. Inoltre, se il malware viene eseguito in una sandbox, senza accesso a internet, non eseguire qualsiasi attività dannose in quanto non riesce a raggiungere il server C&C,” Matthieu Faou, ESET malware ricercatore e autore della ricerca, ha detto ZDNet.
“Infine, consente agli aggressori di aggiornare facilmente il C&C, URL, come hanno solo bisogno di sostituire il messaggio”, ha aggiunto.
Nel frattempo, RegDuke contiene le principali capacità di carico e lo memorizza nel registro di Windows, mentre anche l’applicazione di stenografia per rimanere nascosto. La terza nuova famiglia di malware che è FatDuke, qualcosa che i ricercatori descrivono come un sofisticato backdoor con la capacità di rubare le credenziali di login e altri dati privati associati con attività di spionaggio – soprattutto nei confronti di alta classifica per i dipartimenti del governo.
“Queste organizzazioni tipicamente a che fare con documenti riservati sulla nazionale o di politica internazionale. Così, da una prospettiva di spionaggio, sono molto importanti obiettivi”, ha detto Faou.
ESET relazione afferma che i ricercatori continueranno a monitorare l’attività da Duchi e un elenco di Indicatori di Compromesso è stato pubblicato su GitHub per aiutare i potenziali vittime di rilevare gli attacchi.
I ricercatori avvisano anche che solo perché un APT minaccia di gruppo sembra essere andato scuro, questo non significa che ho smesso di spionaggio attività, infatti, la natura di spionaggio significa che stanno facendo tutto il possibile per evitare il rilevamento. E mentre gruppi come Accogliente Orso, occasionalmente, pausa attività, è in ultima analisi, è il loro lavoro di spionaggio condotta in tutti i tempi, in modo che il gruppo tornerà di nuovo in futuro.
“Ci si può aspettare loro di sviluppare nuovi strumenti per essere in grado di ri-iniziare la loro attacchi nelle prossime settimane o mesi”, ha detto Faou.
PER SAPERNE DI PIÙ SULLA SICUREZZA INFORMATICA
Hacker russi di provare questo nuovo malware contro di NOI e gli obiettivi Europeidi Visualizzare il russo attacco TechRepublicGli hacker che non è mai andato via: Tutore per ulteriori statali attacchi, fughe di notizie e imitazioni di quest’annoDNC dice hacker russi ha colpito con il phishing sforzo dopo midterms CNETOra hacker russi utilizzando Brexit come parte del loro attacchi informatici
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati