Image
23.10.2019 0 Comments

ESET: Skupina za útokom na americkú Demokratickú stranu sa stále úspešne zameriava na vládne ciele

Kybernetická špionážna skupina Dukes sa dostala na chvíľu na výslnie po ich údajnom zapojení sa do útoku na americkú Demokratickú stranu pred prezidentskými voľbami v roku 2016. Po útoku v Nórsku v januári 2017 a aj napriek ich možnému comebacku v novembri 2018 sa táto skupina (zvaná aj APT29 alebo Cozy Bear) akoby stiahla zo špionážnej scény. Výskumníci z bezpečnostnej spoločnosti ESET však objavili operáciu s názvom Ghost Hunt, ktorá začala už oveľa skôr – už v roku 2013.

ESET zároveň môže potvrdiť, že operácia stále pretrváva. Skupina Dukes sa infiltrovala do ambasády štátu Európskej únie v americkom Washingtone a taktiež do ministerstiev zahraničných vecí minimálne troch rozličných európskych krajín.

Svoje obete infikuje skupina viacerými technikami. Jednou z nich je spear phishing, teda zasielanie cielených e-mailov, ktorých obsah obeť vyhodnotí ako tak zaujímavý, že ich otvorí. Škodlivý kód sa do zariadenia stiahne buď po zapnutí makier po otvorení škodlivej prílohy alebo po stiahnutí súboru zo škodlivého linku umiestneného v e-mailovej správe a následnom zapnutí makier.

Dukes používa vyspelý škodlivý útok, ktorý je rozdelený do štyroch fáz. V prvej fáze získa link na svoj riadiaci a kontrolný server cez Twitter alebo inú sociálnu sieť alebo webstránku. V druhej fáze použije službu Dropbox na získanie príkazov od útočníkov. V tretej fáze infikuje zariadenie jednoduchým backdoorom, ktorý zase v poslednej štvrtej fáze stiahne do zariadenia vyspelejší backdoor s množstvom funkcií a flexibilnou konfiguráciou.

ESET identifikoval tri nové rodiny škodlivého kódu, ktoré sú spojené so skupinou Dukes. „Jedna z prvých verejných stôp tejto škodlivej kampane sa nachádza na komunitnej stránke Reddit od júla 2014,“ vysvetľuje výskumník bezpečnostnej spoločnosti ESET Matthieu Faou. „S vysokou istotou môžeme potvrdiť, že za operáciou Ghost Hunt a za útokom na americkú Demokratickú stranu je tá istá skupina,“ dodáva Faou.

Pripísanie týchto útokov skupine Dukes je založené na podobnosti taktík pozorovaných v tejto škodlivej kampani v porovnaním s ich predchádzajúcimi útokmi. Dukes konkrétne použili Twitter a Reddit na zdieľanie linkov na svoje riadiace a kontrolné servery. Zároveň aj teraz použili na skrytie škodlivého kódu steganografiu. Cieľmi tejto škodlivej kampane sú opäť ministerstvá zahraničných vecí – dva z troch cieľov boli aj predtým napadnuté touto skupinou. Ďalším dôkazom je podobnosť kódu operácie Ghost Hunt v porovnaní s predchádzajúcimi útokmi.

Pri operácii Ghost Hunt použila skupina Dukes len malé množstvo nástrojov, na skrývanie sa pred detekciou využila viaceré zaujímavé taktiky. Skupina je veľmi vytrvalá a systematicky kradne prístupové údaje na to, aby sa pohybovala po sieti svojej obete. ESET bol svedkom toho, ako infikovali alebo opätovne infikovali zariadenia na tej istej lokálnej sieti použitím administrátorských prístupových údajov.

Viac informácií o tejto operácii nájdete v štúdii Operation Ghost Hunt: The Dukes aren’t back – they never left.

Autor: ESET

Nechajte si posielať prehľad najdôležitejších správ emailom

Tlačové správy

Black Friday v PLANEO Elektro je tu! A všetko bude o 40 % lacnejšie!

19.11.2019 14:59

Najlepší deň na nákupy Black Friday v predajniach PLANEO Elektro znamená možnosť získať zľavu -40 % s 5-ročnou VIP zárukou úplne na všetko. V sieti PLANEO Elektro Black Friday začína už 18. novembra. ...

Tlačové správy

Festival vedy a techniky AMAVET 2019 – výsledky 22. ročníka

19.11.2019 14:56

„Som úplne fascinovaný z toho čo tu vidím ako aj úžasné projekty, ktoré mladí ľudia dokážu spraviť. Ja som nanešťastie nemal také možnosti počas môjho štúdia, nemal som zlých učiteľov, ale nebola tam ...

Tlačové správy

Xerox prináša revolučné možnosti ozdobnej tlače a nový tlačový stroj pre náročné kancelárie aj produkciu

19.11.2019 14:32

Špeciálna tlač je jedným z najrýchlejšie rastúcich digitálnych segmentov. Technológia Adaptive CMYK Plus od spoločnosti Xerox je navrhnutá pre novú farebnú tlačiareň Xerox PrimeLink® C9065/C9070 a Xer ...

Žiadne komentáre

ACER_122019

Videá