De Russische hackers die de verkiezingen van 2016 hebben gehaald, hebben het sindsdien erg druk gehad

Het Kremlin

Het Kremlin Foto: Het Kremlin door Mariano Mantel CC BY NC 2.0





Sinds ze een van de groepen waren die betrokken waren bij de beruchte hack van het Democratic National Committee in 2016, is het spoor grotendeels koud geworden voor de Russische inlichtingenhackers die bekend staan ​​als Cozy Bear.

Nieuw onderzoek toont echter aan dat Cosy Bear (ook bekend als de Dukes) nooit is weggegaan. Hoewel ze erin slaagden om meer dan twee jaar uit de schijnwerpers te blijven, is de groep actief betrokken geweest bij een zes jaar durende spionagecampagne gericht op de ministeries van Buitenlandse Zaken in ten minste drie Europese landen en een Washington, DC, ambassade van een Land van de Europese Unie, volgens nieuw werk door het Slowaakse cyberbeveiligingsbedrijf ESET.

Twee andere geavanceerde hackgroepen uit Rusland, met de codenamen Fancy Bear en Turla, werden gevonden op enkele van dezelfde gehackte computers. Het is bekend dat Russische hackgroepen van verschillende takken van de overheid - in dit geval het leger en de inlichtingendiensten - agressief met elkaar concurreren wanneer ze achter hoogwaardige doelen aan gaan.



De aanhoudende en nauwgezette campagne van Cosy Bear tegen een reeks Europese politieke doelen maakt gebruik van nieuwe malware en tactieken in wat de onderzoekers Operation Ghost noemen, een campagne met wortels in 2013 en minstens tot juni 2019.

Kom binnen via de achterdeur: De hackers beginnen hun aanval meestal met spear-phishing-e-mails - berichten die zorgvuldig zijn ontworpen om zeer specifieke doelen te misleiden om op kwaadaardige links te klikken, waardoor een proces wordt gestart om gevaarlijke software te downloaden die Cosy Bear controle geeft over belangrijke machines en accounts. De details over hoe de hackers dat doel bereiken, laten zien dat ze tot de beste ter wereld behoren in wat ze doen.

De campagne, die grotendeels tijdens werkuren in de tijdzone van Moskou werd uitgevoerd, omvatte meerdere nieuwe malwarefamilies die tijdens deze operatie werden ontdekt.



Een nieuwe malwarefamilie bekend als FatDuke is speciaal door deze groep gebouwd om verborgen en stille achterdeurtoegang tot de computer van een slachtoffer te bieden door zich voor te doen als de browser van het doelwit tot op specifieke details, zoals het gebruik van dezelfde user-agent als de browser die op het systeem is geïnstalleerd.

Dit is hoe onderzoekers veronderstellen dat een soort aanval van Operatie Ghost zich zou kunnen ontvouwen: een doelwit, bijvoorbeeld een Europese diplomaat, zou een e-mail ontvangen die speciaal is gemaakt om haar ertoe te brengen een kwaadaardig document te downloaden. Dat document zou PolyglotDuke-malware bevatten waarvan het doel is om heimelijk andere malware op de machine te installeren. Om dat te doen, kijkt de malware naar vooraf bepaalde berichten op populaire sites zoals Reddit, die eruitzien als normaal internetverkeer. Er wordt een afbeelding gedownload die gebruikmaakt van een tactiek genaamd steganografie, die een afbeeldingsbestand op subtiele wijze verandert om gecodeerde gegevens, inclusief extra payloads, te verbergen. Plots bevatten normaal ogende foto's kwaadaardige en bijna onzichtbare code.

Ze zullen de MiniDuke-achterdeur installeren en dan, als fase drie van het speelboek voor de meest interessante en belangrijke doelen, verhuizen ze naar FatDuke. Een succesvolle inzet van FatDuke, de huidige vlaggenschip-achterdeur genoemd die door de hertogen wordt gebruikt, betekent dat de strijd voorbij is.



Laag liggen: Wat ook bijzonder is aan deze groep en deze campagne, is de manier waarop de netwerkinfrastructuur van de operatie voor elk slachtoffer opnieuw werd opgebouwd.

Dit soort compartimentering wordt over het algemeen alleen gezien door de meest nauwgezette aanvallers, zeiden ESET-onderzoekers Matthieu Faou, Mathieu Tartare en Thomas Dupuy in het nieuwe rapport . 'Het voorkomt dat de hele operatie wordt verbrand wanneer een enkel slachtoffer de infectie ontdekt en het gerelateerde netwerk [indicatoren van compromis] deelt met de beveiligingsgemeenschap.

Cosy Bear is al meer dan een decennium actief.



Ons nieuwe onderzoek toont aan dat zelfs als een spionagegroep jarenlang uit openbare rapporten verdwijnt, deze misschien niet is gestopt met spioneren, schreven de onderzoekers. Cosy Bear was in staat om vele jaren onder de radar te vliegen en tegelijkertijd hoogwaardige doelen in gevaar te brengen, zoals voorheen.

zich verstoppen