Valet att lägga sig: Hur gör vi för att stoppa Ryssland?
USA kämpar för att hitta ett sätt att motverka hacking och andra störningar.
En rysk it-spionage verksamhet som var en av de grupper som hackade i Demokratiska Nationella Kommittén i upptakten till 2016 AMERIKANSKA Presidentvalet har varit upptagen med attacker mot statliga myndigheter i och utanför Europa.
Den Mysiga Bära hacka gruppen – också känd som APT29 – tros vara associerade med den ryska underrättelsetjänsten och, vid sidan av ryska militära hacka gruppen Fancy Björn, var inblandad i ett antal uppmärksammade attacker mellan 2014 och 2017.
Under tiden sedan dess, Mysiga Björn att gå lugnt, men nu it-säkerhet analytiker på ESET har detaljerade hur gruppen – som de hänvisar till som Dukes – har fortsatt sin verksamhet samtidigt som man försöker att hålla sig under radarn.
Den nyupptäckta kampanj – dubbade Drift Ghost av forskare som startat under 2013 och fortsatte till 2019, vilket innebär att gruppen aldrig slutat sitt spionage verksamhet.
I attacker med fyra nya familjer av skadlig kod, Mysiga Björnen har riktade till utrikesministerierna i minst tre olika länder i Europa, samt USA: s ambassad för ett Eu-land i Washington DC.
Forskare har hänföras Drift Ghost Mysigt att Bära eftersom attackerna använda bakdörr för skadlig kod i samband med tidigare verksamhet av grupp – MiniDuke – även om den här versionen verkar ha uppdaterats. Gruppen verkar också för att mest aktivt under arbetstid i Ryssland, med enstaka aktivitet på natten.
I likhet med andra kampanjer som Mysigt att Bära, attacker börja med riktade spear-phishing e-post utformade för att lura offer till att klicka på en skadlig länk eller hämta skadlig kod via en bifogad fil – men den första kompromiss e-post som ännu inte har identifierats.
SE: Kan ryska hackare stoppas? Här är varför det kan ta 20 år (TechRepublic cover story) | ladda ner PDF-versionen
Från det, anfallare, stjäla inloggningsuppgifter till strövar över nätverk, ofta utnyttjar admin referenser för att göra så.
Kampanjerna också använda tre nya familjer av skadlig kod för att hjälpa till att bedriva verksamhet på utsatta system, som forskarna har döpt PolyglotDuke, RegDuke och FatDuke.
PolyglotDuke använder Twitter, Reddit, Imgur och andra webbplatser att länka till deras command and control (C&C) infrastruktur, som möjliggör för angripare att undvika att lagra denna information i malware – något som kan vara till hjälp för att undvika upptäckt.
“Automatiska system kommer mindre sannolikt att flagga en körbar som skadliga om det bara innehåller Webbadresser till legitima webbplatser. Dessutom, om det skadliga programmet körs i en sandlåda, utan tillgång till internet, det kommer inte att utföra någon skadlig aktivitet som man inte kan nå C&C-servern,” Matthieu Faou, ESET malware forskare och författare av forskningen berättade ZDNet.
“Äntligen, det gör det möjligt för angripare att enkelt uppdatera C&C-URL som de bara behöver byta budskap,” tillade han.
Under tiden, RegDuke innehåller de viktigaste nyttolast och lagrar det på Windows-registret samtidigt tillämpa stenografi för att hålla sig gömd. Den tredje nya familj av skadlig kod FatDuke, något som forskarna beskriver som en sofistikerad bakdörr med förmågan att stjäla inloggningsuppgifter och andra privata uppgifter i samband med spionage verksamhet – särskilt mot högt uppsatta statliga myndigheter.
“Dessa organisationer vanligtvis handskas med mycket känsliga dokument om nationella eller globala politiken. Alltså, från en spionage perspektiv, de är mycket värdefulla mål,” sade Faou.
ESET rapport står det att forskarna kommer att fortsätta att övervaka aktiviteten av Hertigar och en lista över Indikatorer som en Kompromiss har lagts till GitHub för att hjälpa potentiella offer upptäcka attacker.
Forskarna vill också varna för att bara för att en APT-hot mot gruppen verkar ha gått mörk, det betyder inte att de har slutat spionage verksamhet – ja, mycket natur för spioneri innebär att de gör allt de kan för att undvika upptäckt. Och medan grupper som Mysigt att Bära ibland kan pausa aktivitet, det är i slutändan deras jobb att bedriva spionage på alla gånger, så gruppen kommer tillbaka igen i framtiden.
“Kan vi förvänta oss att utveckla nya verktyg för att kunna starta sina attacker under de kommande veckorna eller månaderna”, sade Faou.
LÄS MER OM IT-SÄKERHET
Ryska hackare försöker in denna nya malware mot AMERIKANSKA och Europeiska målatt Visualisera den ryska cyberattack TechRepublichackare som aldrig gick bort: Stag för mer statligt stöd attacker, läckage och copycats detta årDNC säger ryska hackare slog det med phishing-försök efter midterms CNETNu ryska hackare använder Brexit som en del av deras it-attacker
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter