Компанія ESET — лідер в галузі інформаційної безпеки — повідомляє про виявлення атак групи хакерів Dukes (APT29 або Cozy Bear) на урядові установи в Європі. Нова операція кіберзлочинців, яка отримала назву «Ghost», розпочалася ще у 2013 році та триває до цього часу. Зокрема хакери Dukes здійснили втручання в інформаційні системи міністерств закордонних справ щонайменше у трьох країнах Європи та посольства держави-члена ЄС у Вашингтоні.
Варто зазначити, що ця група опинилися в центрі уваги громадськості після підозри у причетності Dukes до кібератаки на Національний комітет Демократичної партії перед виборами у США у 2016 році. Після фішингової кампанії, спрямованої на уряд Норвегії, в січні 2017 року, кіберзлочинці, здавалося б, припинили свою шпигунську діяльність.
Однак під час нового дослідження спеціалісти ESET виявили три нових сімейства шкідливих програм, пов’язаних із Dukes — PolyglotDuke, RegDuke та FatDuke. «Одну з перших публічних вказівок на цю кампанію можна знайти на Reddit у липні 2014 року, — розповідає Матьє Фау, дослідник ESET. — Ми можемо з високою впевненістю підтвердити, що одна і та ж група стоїть за операцією «Ghost» та атакою на Національний комітет Демократичної партії».
Причетність групи до цих атак базується на декількох схожих елементах тактики цієї та попередніх кампаній групи. Зокрема, група використовувала Twitter та Reddit для розповсюдження URL-адрес командного сервера та застосовувала стеганографію в картинках, щоб приховати шкідливі компоненти чи команди. Крім цього, два із трьох атакованих міністерств були попередньо cкомпрометовані. Принаймні, на одній машині був інсталятор від групи Dukes, який було встановлено ще кілька місяців тому. Ще одним доказом причетності групи є велика схожість коду між виявленими раніше зразками та операцією «Ghost».
«Перша компіляція PolyglotDuke – це вірус MiniDuke, який був зафіксований в 2013 році. Таким чином, ми вважаємо, що операція «Ghost» проводилася одночасно з іншими кампаніями і до цього часу залишалася непоміченою», — пояснює Фау.
В цій операції група Dukes використовувала обмежену кількість інструментів, покладаючись на різноманітні тактики для уникнення виявлення. Зокрема, кіберзлочинці систематично викрадали дані та використовували їх для прихованого поширення в мережі жертв. Наприклад, спеціалісти ESET зафіксували використання облікових даних адміністратора для компрометації або повторної компрометації машин у локальній мережі.
Група Dukes використовує складний механізм розповсюдження шкідливого програмного забезпечення, який розділений на чотири етапи. Спочатку кіберзлочинці поширюють URL-адресу командного сервера через Twitter або інші соціальні мережі та веб-сайти. Потім шкідливе програмне забезпечення використовує Dropbox для отримання команд від зловмисників. Згодом механізм відкриває простий бекдор, який, в свою чергу, завантажує більш складний бекдор з великою кількістю функціональних можливостей та гнучкою конфігурацією.
Детальнішу інформацію про загрозу та ідентифікатори компрометації можна знайти за посиланням.