Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении атак группы хакеров Dukes (APT29 или Cozy Bear) на правительственные цели в Европе. Новая операция киберпреступников, которая получила название «Ghost Hunt» («Охота на привидений»), началась еще в 2013 году и продолжается до этого времени. В частности, хакеры Dukes осуществили вмешательство в информационные системы министерств иностранных дел минимум в трех странах Европы и посольства государства-члена ЕС в Вашингтоне.
Стоит отметить, что эта группа оказались в центре внимания общественности после подозрения в причастности Dukes к кибератакам на Национальный комитет Демократической партии перед выборами в США в 2016 году. После фишинговой кампании, направленной на правительство Норвегии, в январе 2017 года, киберпреступники, казалось бы, прекратили свою шпионскую деятельность.
Читайте такжеВоруют цифровые отпечатки: специалисты установили новую опасность использования "Tor"
Однако во время нового исследования специалисты ESET обнаружили три новых семейства вредоносных программ, связанных с Dukes — PolyglotDuke, RegDuke и FatDuke. «Одно из первых публичных указаний на эту кампанию можно найти на Reddit в июле 2014 года, — рассказывает Матье Фау, исследователь ESET. — Мы можем с высокой уверенностью подтвердить, что одна и та же группа стоит за операцией «Охота на привидений» и атакой на Национальный комитет Демократической партии».
Приписывание этих атак киберпреступникам Dukes базируется на нескольких сходствах тактики этой и предыдущих кампаний группы. В частности, группа использовала Twitter и Reddit для размещения URL-адресов командного сервера и применяла стеганографии в картинках, чтобы скрыть вредоносные компоненты или команды. Кроме этого, два из трех атакованных министерств были предварительно скомпрометированы группой. По крайней мере, на одной машине Dukes были установлены «старые» компоненты еще несколько месяцев назад. Еще одним доказательством причастности группы является большое сходство кода между выявленными ранее образцами и операцией «Охота на привидений».
«В 2013 году, что является первой известной датой компиляции PolyglotDuke, был зафиксирован лишь MiniDuke, и, таким образом, мы считаем, что операция «Охота на привидений» проводилась одновременно с другими кампаниями и до сих пор оставалась незамеченной», — объясняет Фау.
В этой операции группа Dukes использовала ограниченное количество инструментов, полагаясь на многочисленные интересные тактики для избежания обнаружения. В частности, киберпреступники систематически похищали данные и использовали их для скрытого распространения в сети жертв. Например, специалисты ESET зафиксировали использование учетных данных администратора для компрометации или повторной компрометации машин в локальной сети.
Группа Dukes использует сложный механизм распространения вредоносного программного обеспечения, который разделен на четыре этапа. Сначала киберпреступники распространяют URL-адрес командного сервера через Twitter или другие социальные сети и веб-сайты. Затем вредоносное программное обеспечение использует Dropbox для получения команд от злоумышленников. Впоследствии группа загружает простой бэкдор, который, в свою очередь, загружает более сложный бэкдор с большим количеством функциональных возможностей и гибкой конфигурацией.
Более подробную информацию об угрозе и идентификаторы компрометации можно найти по ссылке.
