De ryska hackarna som slog till i valet 2016 har varit mycket upptagna sedan dess

Kreml

Kreml Foto: Kreml av Mariano Mantel CC BY NC 2.0





Ända sedan de var en av grupperna som var inblandade i det ökända hacket av den demokratiska nationella kommittén 2016, har spåret till stor del gått kallt för de ryska underrättelsetjänsthackarna som kallas Cozy Bear.

Ny forskning visar dock att Cozy Bear (även känd som Dukes) aldrig försvann alls. Även om de lyckades hålla sig borta från rampljuset i över två år, har gruppen varit aktivt engagerad i en sex år lång spionkampanj riktad mot utrikesministerierna i minst tre europeiska länder och en ambassad i Washington, DC. Europeiska unionens nation, enligt nytt jobb av det slovakiska cybersäkerhetsföretaget ESET.

Två andra avancerade hackningsgrupper från Ryssland, med kodnamnen Fancy Bear och Turla, hittades på några av samma datorer som hade brutits. Ryska hackergrupper från olika delar av regeringen – i det här fallet militären och underrättelsetjänsten – är kända för att aggressivt konkurrera med varandra när de går efter högvärdiga mål.



Cozy Bears ihärdiga och noggranna kampanj mot en rad europeiska politiska mål använder ny skadlig programvara och taktik i vad forskarna kallar Operation Ghost, en kampanj med rötter så långt tillbaka som 2013 och sträcker sig åtminstone till juni 2019.

Gå in genom bakdörren: Hackarna startar vanligtvis sin attack med e-postmeddelanden med spjutfiske – meddelanden som är noggrant utformade för att lura mycket specifika mål att klicka på skadliga länkar och starta en process för att ladda ner farlig programvara som ger Cozy Bear kontroll över nyckelmaskiner och konton. Detaljerna om hur hackarna uppnår det målet visar att de är bland världens bästa på vad de gör.

Kampanjen, som till stor del genomfördes under arbetstid i Moskvas tidszon, involverade flera nya skadliga programfamiljer som upptäcktes i användning under denna operation.



En ny skadlig skadlig familj känd som FatDuke byggs specifikt av denna grupp för att ge dold och tyst bakdörrsåtkomst till ett offers maskin genom att imitera målets webbläsare ner till specifika detaljer som att använda samma användaragent som webbläsaren installerad på systemet.

Så här antar forskare att en typ av attack från Operation Ghost skulle kunna utvecklas: Ett mål, säg en europeisk diplomat, skulle få ett e-postmeddelande utformat specifikt för att få henne att ladda ner ett skadligt dokument. Det dokumentet skulle innehålla PolyglotDuke malware vars mål är att i smyg installera annan skadlig kod på maskinen. För att göra det tittar skadlig programvara på förutbestämda meddelanden på populära webbplatser som Reddit, som ser ut som normal internettrafik. En bild laddas ner som använder en taktik som kallas steganografi, som subtilt ändrar en bildfil för att dölja kodad data inklusive ytterligare nyttolaster. Plötsligt innehåller normala bilder skadlig och nästan osynlig kod.

De kommer att installera MiniDuke-bakdörren och sedan, som steg tre av spelboken för de mest intressanta och viktiga målen, flyttar de till FatDuke. En framgångsrik utplacering av FatDuke, kallad den nuvarande flaggskeppsbakdörren som används av Dukes, betyder att striden är över.



Ligger lågt: Det som också är exceptionellt med denna grupp och den här kampanjen är hur verksamhetens nätverksinfrastruktur byggdes på nytt för varje offer.

Denna typ av uppdelning ses i allmänhet bara av de mest noggranna angriparna, sa ESET-forskarna Matthieu Faou, Mathieu Tartare och Thomas Dupuy i den nya rapporten . 'Det förhindrar att hela operationen bränns när ett enskilt offer upptäcker infektionen och delar det relaterade nätverket [kompromissindikatorer] med säkerhetsgemenskapen.

Cozy Bear har varit aktiv i över ett decennium.



Vår nya forskning visar att även om en spionagegrupp försvinner från offentliga rapporter under många år så kanske den inte har slutat spionera, skrev forskarna. Cozy Bear kunde flyga under radarn i många år samtidigt som de kompromissade med högvärdiga mål, som tidigare.

Dölj