Hackowali, gdy Trump wygrał wybory w USA. The Dukes wciąż są aktywni i groźni

Hackowali, gdy Trump wygrał wybory w USA. The Dukes wciąż są aktywni i groźni17.10.2019 11:29
Hackowali podczas wyborów w USA. The Dukes nie zniknęli – są aktywni i groźni

Grupa cyberprzestępców The Dukes zasłynęła dzięki atakowi na Krajowy Komitet Partii Demokratycznej USA. Przypisuje im się udział w ataku z 2016 roku, poprzedzającego wybory w Stanach Zjednoczonych.

Po tym popisie The Dukes prawdopodobnie dokonali jeszcze dwóch ataków w Norwegii w 2017 roku i słuch o nich zaginął. Jednak nie przeszli na emeryturę. Specjaliści z firmy ESET mają dowody na to, że szpiedzy z The Dukes cały czas są aktywni.

Operacja Ghost Hunt: stare-nowe dzieło The Dukes

Grupa The Dukes (APT29, Cozy Bear) stoi także za operacją szpiegowską Ghost Hunt, prowadzoną od 2013 roku. Analitycy z firmy ESET znaleźli dowody na to, że kampania jest dziełem tych samych osób, co włamanie do komitetu Demokratów. Są to trzy nowe rodziny szkodliwych programów: PolyglotDuke, RegDuke i FatDuke. Malware FatDuke ostatni raz został zaobserwowany w czerwcu 2019 roku.

Cyberprzestępcom udało się przeniknąć do ambasad w Stanach Zjednoczonych i Ministerstw Spraw Zagranicznych w przynajmniej trzech krajach Unii Europejskiej. Możliwe, że podobnych ofiar jest więcej, a specjaliści wciąż nie znają pełnego arsenału The Dukes. Operacja Ghost Hunt była prowadzona równolegle z innymi akcjami i nie od razu odkryta została waga tych ataków.

Terminarz pracy grupy The Dukes opracowany na podstawie danych telemetrycznych (ESET, Matthieu Faou)
Terminarz pracy grupy The Dukes opracowany na podstawie danych telemetrycznych (ESET, Matthieu Faou)

The Dukes działają jeszcze dłużej. Najstarszy znany malware ich autorstwa PinchDuke pochodzi z 2009 roku. Był używany w atakach na departament obrony Gruzji oraz resorty spraw zagranicznych w Turcji i Ugandzie. Już wtedy The Dukes interesowali się NATO.

Skąd wiadomo, że to The Dukes?

Pierwsze ślady działań zostały upublicznione w 2014 roku na Reddicie. Została tam opublikowana wiadomość z zakodowanym linkiem do serwera C&C (Command and Control), używanego przez PolyglotDuke. To pierwszy znak, że za akcją mogą stać cyberprzestępcy z grupy The Dukes, która używała Twittera i Reddita, by publikować takie wiadomości. Komendy lub szkodliwy kod są ukrywane w obrazkach pod przykrywką kolorów RGB – każdy piksel zawiera bajt danych.

Każdy piksel opisują 3 wartości kolorów składowych. Ostatnie bity tych wartości składają się na bajt danych dla malware'u (ESET, Matthieu Faou)
Każdy piksel opisują 3 wartości kolorów składowych. Ostatnie bity tych wartości składają się na bajt danych dla malware'u (ESET, Matthieu Faou)

By utrzymać się w systemie, malware wykorzystuje Windows Management Instrumentation – zestaw protokołów systemu Windows, umożliwiający dostęp do zasobów komputera. Nie bez znaczenia jest też wybór celów politycznych – dwa z nich były wcześniej infekowane przez malware ze szczepów CozyDuke, OnionDuke lub MiniDuke. Na niektórych komputerach były widoczne także ślady infekcji szkodliwymi programami grup Turla i Sednit.

Istotne są także podobieństwa w kodzie szkodliwych programów. Porównanie znanych i nowo odkrytych próbek sugeruje, że szkodliwe programy z różnych kampanii wykorzystują podobne funkcje.

Podobne funkcje w PolyglotDuke i starszym OnionDuke (ESET)
Podobne funkcje w PolyglotDuke i starszym OnionDuke (ESET)

Jak działa operacja Ghost Hunt?

Nowe informacje na temat The Dukes i operacji szpiegowskiej przedstawił Matthieu Faou podczas konferencji prasowej firmy ESET w Bratysławie.

Matthieu Faou (ESET)
Matthieu Faou (ESET)

Mechanizm działania Ghost Hunt został rozpracowany niemal w całości. Zaczyna się prawdopodobnie od e-maila ze szkodliwym dokumentem, podobnie jak Emotet i wiele innych. Druga hipoteza mówi o podszywaniu się pod zaufaną osobę.

Jeśli na pierwszym etapie na komputerze ofiary zadomowi się malware PolyglotDuke, skorzysta z portalu społecznościowego. Link do serwera C&C zdobędzie z Twittera lub Reddita. Adres jest zadokowany w ciągu znaków w rzadko używanym alfabecie, co wyjaśnia nazwę szkodliwego poligloty. Następnie malware pobierze niewinnie wyglądający obrazek z zakodowanymi instrukcjami.

Polecenie dla PolyglotDuke z adresem zakodowanym w alfabecie Cherokee (ESET)
Polecenie dla PolyglotDuke z adresem zakodowanym w alfabecie Cherokee (ESET)

Jeśli na pierwszym etapie występuje RegDuke, obrazek jest pobierany z Dropboxa.

W następnym etapie instalowany jest malutki backdoor MiniDuke, który z kolejnego pliku graficznego wydobywa FatDuke – zaawansowany backdoor o bogatych możliwościach. The Dukes bardzo często zmieniają sposób zaciemniania FatDuke, by lepiej unikać ochrony antywirusowej.

– Jesteśmy pewni i możemy potwierdzić, że ta sama grupa stoi za operacją Ghost Hunt i atakami na komitet Demokratów w 2016 roku – podsumował swoją prezentację Matthieu Faou. W tej branży nie można pozwolić sobie na pewność, jeśli nie ma na to niezbitych dowodów. Wniosek z jego prezentacji jest prosty, ale niepokojący. Nawet jeśli o grupie hakerskiej nic się nie mówi, może być aktywna i atakować strategiczne cele. Matthieu Faou przypomniał też o wyborach prezydenckich w USA w 2020 roku – The Dukes mogą znów zaatakować, używając nowych narzędzi.

Chcesz być bezpieczny w sieci? Przed wieloma zagrożeniami ochroni cię BitDefender.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na