Группа хакеров Dukes атакует правительственные учреждения
Компания ESET сообщила о том, что ее специалисты обнаружили атаки группы хакеров Dukes (APT29 или Cozy Bear) на правительственные учреждения в Европе. Новая операция киберпреступников, которая получила название "Ghost", началась еще в 2013 году и продолжается до этого времени. В частности, хакеры Dukes осуществили вмешательство в информационные системы министерств иностранных дел минимум в трех странах Европы и посольства государства-члена ЕС в Вашингтоне.
Стоит отметить, что эта группа оказались в центре внимания после подозрения в причастности Dukes к кибератакам на Национальный комитет Демократической партии перед выборами в США в 2016 году. После фишинговой кампании, направленной на правительство Норвегии, в январе 2017 года, киберпреступники, казалось бы, прекратили свою шпионскую деятельность.
Однако во время нового исследования специалисты ESET обнаружили три новых семейства вредоносных программ, связанных с Dukes - PolyglotDuke, RegDuke и FatDuke. "Одно из первых публичных указаний на эту кампанию можно найти на Reddit в июле 2014 года, - рассказывает Матье Фау, исследователь ESET. - Мы можем с высокой уверенностью подтвердить, что одна и та же группа стоит за операцией "Ghost" и атакой на Национальный комитет Демократической партии".
Причастность группы к этим атакам базируется на нескольких похожих элементах тактики этой и предыдущих кампаний группы. В частности, группа использовала Twitter и Reddit для распространения URL-адресов командного сервера и применяла стеганографии в картинках, чтобы скрыть вредоносные компоненты или команды. Кроме этого, два из трех атакованных министерств были предварительно скомпрометированы. По крайней мере, на одной машине был инсталлятор от группы Dukes, который был установлен еще несколько месяцев назад. Еще одним доказательством причастности группы является большое сходство кода между выявленными ранее образцами и операцией "Ghost".
Группа кибершпионов Dukes атакует правительственные цели "Первая компиляция PolyglotDuke - это вирус MiniDuke, который был зафиксирован в 2013 году. Таким образом, мы считаем, что операция "Ghost" проводилась одновременно с другими кампаниями и до сих пор оставалась незамеченной", - объясняет Фау.
В этой операции группа Dukes использовала ограниченное количество инструментов, полагаясь на различные тактики для избежания обнаружения. В частности, киберпреступники систематически похищали данные и использовали их для скрытого распространения в сети жертв. Например, специалисты ESET зафиксировали использование учетных данных администратора для компрометации или повторной компрометации машин в локальной сети.
Группа Dukes использует сложный механизм распространения вредоносного программного обеспечения, который разделен на четыре этапа. Сначала киберпреступники распространяют URL-адрес командного сервера через Twitter или другие социальные сети и веб-сайты. Затем вредоносное программное обеспечение использует Dropbox для получения команд от злоумышленников. Впоследствии механизм открывает простой бэкдор, который, в свою очередь, загружает более сложный бэкдор с большим количеством функциональных возможностей и гибкой конфигурацией.