Операция "Охота на привидений": эксперты по кибер-безопасности разоблачили группу хакеров, годами, атаковать правительственные объекты в Европе

Хакеры из группы придурков в рамках операции "Охота на призраков", начиная с 2013 года, осуществляет вмешательство в информационную систему Министерства иностранных дел, по меньшей мере в трех европейских странах и посольства государств-членов ЕС в Вашингтоне.Фото Есет

Компания ESET, лидер в области информационной безопасности — сообщает об обнаружении атаки групп придурки хакеры (APT29 или уютный медведь) на государственные объекты в Европе. Новая операция кибер-преступников, которая называется "Охота на призрака" ("Охота на призраков"), началось в 2013 году и продолжается до настоящего времени. В частности, хакеры придурки вмешался в информационной системе Министерства иностранных дел, по крайней мере, трех европейских стран и посольства государств-членов ЕС в Вашингтоне.

Следует отметить, что эта группа оказалась в центре общественного внимания после того, как подозрение герцогов причастности к кибератакам на Национальный комитет Демократической партии перед выборами в США в 2016 году. После фишинговой кампании, направленной на правительство Норвегии в январе 2017, злоумышленникам, казалось бы, перестали их шпионской деятельности.

Читайте такжеукрасть цифровой отпечаток: эксперты установили новую опасность использования "ТОР"

Однако в ходе нового исследования эксперты ESET обнаружили три новых семейств вредоносного программного обеспечения, связанные с герцогов — PolyglotDuke, RegDuke и FatDuke. "Одним из первых публичных свидетельств этой кампании можно найти на Reddit в июле 2014 года, - говорит Матье, ФАУ, исследователь компании ESET. — Мы можем с высокой степенью уверенности подтвердить, что эта же группа за время операции "Охота на призраков" и нападение на Национальный комитет Демократической партии".

Приписывание этих атак злоумышленников князей базируется на нескольких сходства тактики этого и предыдущих кампаний группы. В частности, группа использовала Twitter и Reddit для размещения URL на команду сервера и используется стеганография в картинках, чтобы скрыть вредоносные компоненты или команды. Кроме того, двое из трех напавших министерств был предварительно взломан группой. По крайней мере, один автомобиль герцоги были установлены "старые" компоненты несколько месяцев назад. Еще одно доказательство причастности группы является большая схожесть кода между ранее выявленных образцов и операции "Охота на призраков".

"В 2013 году, которая является первой известной датой составления PolyglotDuke, был зафиксирован только по оценкам, и таким образом, мы считаем, что операция "Охота на призраков" проводилась одновременно с другими кампаниями и остаются незамеченными",- объясняет ФАУ.

В этой операции, группа придурков используется ограниченное количество инструментов, опираясь на многие интересные тактики, чтобы избежать обнаружения. В частности, злоумышленники систематически похищала данные и использовали их для скрытого распространения в сети жертвы. Например, эксперты ESET зафиксировали учетные данные администратора к компромиссу или повторно взломанных компьютеров в локальной сети.

Группа придурков использует сложный механизм распространения вредоносного программного обеспечения, которое делится на четыре этапа. Во-первых, киберпреступники распространяют URL-адрес командного сервера, через Twitter или другие социальные сети и сайты. Тогда злой использует программное обеспечение Dropbox для получения команд от злоумышленников. Впоследствии, группа нагрузки простой бэкдор, который, в свою очередь, создает более сложный бэкдор с большим количеством функций и гибких настроек.

Более подробную информацию об угрозе и идентификаторы скомпрометирован, можно найти по ссылке.

Категория: Наука