Różności i nowinki technologia

Rosyjscy hakerzy Fancy Bear prawdopodobnie przeniknęli do agencji federalnej

SONY DSC

Boris SV | Getty Images

Ostrzeżenie, że niezidentyfikowani hakerzy włamali się do agencji rządu federalnego USA i ukradli jej dane, jest wystarczająco niepokojące. Jednak staje się to tym bardziej niepokojące, gdy zidentyfikowani zostają niezidentyfikowani intruzi – i wydaje się, że należą oni do osławionego zespołu cyberprzestępców służących rosyjskiej agencji wywiadu wojskowego GRU.

W zeszłym tygodniu Agencja ds. Cyberbezpieczeństwa i Infrastruktury opublikowała poradę, że hakerzy przeniknęli do agencji federalnej USA. Nie zidentyfikował ani atakujących, ani agencji, ale szczegółowo opisał metody hakerów i wykorzystanie przez nich nowej i unikalnej formy złośliwego oprogramowania w operacji, która skutecznie wykradła dane celu. Teraz wskazówki odkryte przez badacza z firmy Dragos zajmującej się bezpieczeństwem cybernetycznym oraz powiadomienie FBI dla ofiar hakowania uzyskane przez WIRED w lipcu sugerują prawdopodobną odpowiedź na tajemnicę tego, kto stał za włamaniem: wydają się być Fancy Bear, zespół hakerów pracujących dla Rosyjskie GRU. Grupa, znana również jako APT28, była odpowiedzialna za wszystko, od operacji włamań i wycieków, których celem były wybory prezydenckie w USA w 2016 r., Po szeroką kampanię prób włamań wymierzonych w partie polityczne, firmy konsultingowe i kampanie w tym roku.

Wskazówki wskazujące na APT28 opierają się częściowo na powiadomieniu, które FBI wysłało do celów kampanii hakerskiej w maju tego roku, które uzyskało WIRED. Powiadomienie ostrzegało, że APT28 szeroko atakuje sieci amerykańskie, w tym agencje rządowe i instytucje edukacyjne, i zawiera listę adresów IP, których używają w swojej działalności. Badacz Dragos Joe Slowik zauważył, że jeden adres IP identyfikujący serwer na Węgrzech użyty w tej kampanii APT28 pasuje do adresu IP wymienionego w poradniku CISA. Sugerowałoby to, że APT28 używał tego samego węgierskiego serwera we włamaniu opisanym przez CISA – i że przynajmniej jedna z prób włamań opisanych przez FBI zakończyła się sukcesem.

„Biorąc pod uwagę nakładanie się infrastruktury, serię zachowań związanych z wydarzeniem oraz ogólny harmonogram i cele rządu USA, wydaje się, że jest to coś bardzo podobnego do – jeśli nie części – kampanii związanej z APT28 na początku tego roku – mówi Słowik, były szef zespołu reagowania na incydenty komputerowe w Los Alamos National Labs.

Oprócz tego zawiadomienia FBI Słowik znalazł też drugie połączenie infrastrukturalne. Raport Departamentu Energii z zeszłego roku ostrzegał, że APT28 sondował sieć organizacji rządowej USA z serwera na Łotwie, podając adres IP tego serwera. Również ten łotewski adres IP pojawił się ponownie podczas operacji hakerskiej opisanej w poradniku CISA. Te pasujące adresy IP razem tworzą sieć współużytkowanej infrastruktury, która łączy operacje. „W obu przypadkach nakładają się jeden do jednego” – mówi Słowik.

Jak zauważa Słowik, niektóre adresy IP wymienione w dokumentach FBI, DOE i CISA również wydają się pokrywać ze znanymi operacjami cyberprzestępczymi, takimi jak rosyjskie fora oszustów i serwery używane przez trojany bankowe. Sugeruje jednak, że oznacza to, że sponsorowani przez państwo hakerzy z Rosji najprawdopodobniej ponownie wykorzystują infrastrukturę cyberprzestępczą, być może w celu zaprzeczenia. WIRED skontaktował się z CISA, a także z FBI i DOE, ale żaden z nich nie odpowiedział na naszą prośbę o komentarz.

Chociaż nie zawiera nazwy APT28, poradnik CISA szczegółowo opisuje krok po kroku, w jaki sposób hakerzy włamali się do niezidentyfikowanej agencji federalnej. Hakerzy w jakiś sposób uzyskali działające nazwy użytkowników i hasła dla wielu pracowników, których używali do uzyskania dostępu do sieci. CISA przyznaje, że nie wie, w jaki sposób uzyskano te dane uwierzytelniające, ale raport spekuluje, że osoby atakujące mogły wykorzystać znaną lukę w sieciach VPN Pulse Secure, która według CISA była szeroko wykorzystywana w całym rządzie federalnym.

Następnie intruzi używali narzędzi wiersza poleceń, aby poruszać się między maszynami agencji, zanim pobrali fragment niestandardowego złośliwego oprogramowania. Następnie wykorzystali to złośliwe oprogramowanie, aby uzyskać dostęp do serwera plików agencji i przenieść kolekcje plików na komputery kontrolowane przez hakerów, kompresując je do plików .zip, które mogliby łatwiej ukraść.

Chociaż CISA nie udostępniła badaczom próbki niestandardowego trojana hakerów, Costin Raiu, badacz bezpieczeństwa, twierdzi, że atrybuty szkodliwego oprogramowania pasowały do ​​innej próbki przesłanej do repozytorium badań złośliwego oprogramowania VirusTotal z jakiegoś miejsca w Zjednoczonych Emiratach Arabskich. Analizując tę ​​próbkę, Raiu odkrył, że wydaje się, że jest to wyjątkowa kreacja zbudowana z połączenia popularnych narzędzi hakerskich Meterpreter i Cobalt Strike, ale bez wyraźnych linków do znanych hakerów i zaciemniona wieloma warstwami szyfrowania. „To opakowanie sprawia, że ​​jest to trochę interesujące” – mówi Raiu, dyrektor globalnego zespołu badawczo-analitycznego firmy Kaspersky. „To dość niezwykłe i rzadkie w tym sensie, że nie mogliśmy znaleźć połączeń z niczym innym”.

Nawet pomijając łamanie Demokratycznego Komitetu Narodowego w 2016 r. I kampanię Clintona, rosyjscy hakerzy APT28 grasują nad wyborami w 2020 roku. Na początku tego miesiąca Microsoft ostrzegał, że grupa stosuje masowe, stosunkowo proste techniki naruszania organizacji i kampanii wyborczych po obu stronach przejścia politycznego. Według Microsoftu grupa zastosowała kombinację rozpylania haseł, które wypróbowuje wspólne hasła na wielu kontach użytkowników, oraz brutalnego wymuszania haseł, które próbuje wielu haseł na jednym koncie.

Ale jeśli APT28 rzeczywiście jest grupą hakerów opisaną w poradniku CISA, to przypomina, że ​​są one również zdolne do bardziej wyrafinowanych i ukierunkowanych operacji szpiegowskich, mówi John Hultquist, dyrektor wywiadu w firmie bezpieczeństwa FireEye, co nie potwierdziło Odkrycia Słowika łączące raport CISA z APT28. „Są potężnym aktorem i nadal są w stanie uzyskać dostęp do wrażliwych obszarów” – mówi Hultquist.

APT28, przed swoimi ostatnimi operacjami włamania i wycieku z ostatnich kilku lat, ma długą historię operacji szpiegowskich, które były wymierzone w rząd i cele wojskowe USA, NATO i Europy Wschodniej. Poradnik CISA, wraz z ustaleniami DOE i FBI, które śledzą powiązane kampanie hakerskie APT28, sugerują, że te operacje szpiegowskie trwają do dziś.

„Z pewnością nie jest zaskakujące, że rosyjski wywiad próbowałby przeniknąć do rządu USA. Tak właśnie robią” – mówi Słowik. „Ale warto zauważyć, że nie tylko taka działalność jest kontynuowana, ale odniosła sukces”.

Ta historia pojawiła się pierwotnie na wired.com.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook