Операція «Полювання на привидів»: спеціалісти з кібербезпеки викрили групу хакерів, які роками атакували урядові цілі в Європі

12:45, 17 жовтня 2019.

Наука та IT.

Хакери з групи Dukes в рамках операції «Полювання на привидів», починаючи з 2013 року, здійснили втручання в інформаційні системи міністерств закордонних справ щонайменше у трьох країнах Європи та посольства держави-члена ЄС у Вашингтоні.

Фото ESET.

Компанія ESET — лідер в галузі інформаційної безпеки — повідомляє про виявлення атак групи хакерів Dukes (APT29 або Cozy Bear) на урядові цілі в Європі.

Нова операція кіберзлочинців, яка отримала назву «Ghost Hunt» («Полювання на привидів»), розпочалася ще у 2013 році та триває до цього часу.

Зокрема хакери Dukes здійснили втручання в інформаційні системи міністерств закордонних справ щонайменше у трьох країнах Європи та посольства держави-члена ЄС у Вашингтоні.

Варто зазначити, що ця група опинилися в центрі уваги громадськості після підозри у причетності Dukes до кібератаки на Національний комітет Демократичної партії перед виборами у США у 2016 році.

Після фішингової кампанії, спрямованої на уряд Норвегії, в січні 2017 року, кіберзлочинці, здавалося б, припинили свою шпигунську діяльність.

Однак під час нового дослідження спеціалісти ESET виявили три нових сімейства шкідливих програм, пов’язаних із Dukes — Polyglot.

Duke, Reg.

Duke та Fat.

«Одну з перших публічних вказівок на цю кампанію можна знайти на Reddit у липні 2014 року, — розповідає Матьє Фау, дослідник ESET.

— Ми можемо з високою впевненістю підтвердити, що одна і та ж група стоїть за операцією «Полювання на привидів» та атакою на Національний комітет Демократичної партії».

Приписування цих атак кіберзлочинцям Dukes базується на декількох подібностях тактики цієї та попередніх кампаній групи.

Зокрема, група використовувала Twitter та Reddit для розміщення URL-адрес командного сервера та застосовувала стеганографію в картинках, щоб приховати шкідливі компоненти чи команди.

Крім цього, два із трьох атакованих міністерств були попередньо cкомпрометовані групою.

Принаймні, на одній машині Dukes були встановлені «старі» компоненти ще кілька місяців тому.

Ще одним доказом причетності групи є велика схожість коду між виявленими раніше зразками та операцією «Полювання на привидів».

«У 2013 році, що є першою відомою датою компіляції Polyglot.

Duke, був зафіксований лише Mini.

Duke, і, таким чином, ми вважаємо, що операція «Полювання за привидами» проводилася одночасно з іншими кампаніями і до цього часу залишалася непоміченою», — пояснює Фау.

В цій операції група Dukes використовувала обмежену кількість інструментів, покладаючись на численні цікаві тактики для уникнення виявлення.

Зокрема, кіберзлочинці систематично викрадали дані та використовували їх для прихованого поширення в мережі жертв.

Наприклад, спеціалісти ESET зафіксували використання облікових даних адміністратора для компрометації або повторної компрометації машин у локальній мережі.

Група Dukes використовує складний механізм розповсюдження шкідливого програмного забезпечення, який розділений на чотири етапи.

Спочатку кіберзлочинці поширюють URL-адресу командного сервера через Twitter або інші соціальні мережі та веб-сайти.

Потім шкідливе програмне забезпечення використовує Dropbox для отримання команд від зловмисників.

Згодом група завантажує простий бекдор, який, в свою чергу, завантажує більш складний бекдор з великою кількістю функціональних можливостей та гнучкою конфігурацією.

Детальнішу інформацію про загрозу та ідентифікатори компрометації можна знайти за посиланням.

#хакери#кібершпигунство#кіберзлочинці.