sobota, 23 novembra, 2024
Reklama

Európska únia je pod útokom. Vojna neprebieha na bojisku, ale v našich počítačových systémoch

Nenechajte si ujsť

Andrej Cvik
Andrej Cvik
Mám 24 rokov a moje 3 najobľúbenejšie veci na svete sú káva a moja mačka. A tá tretia je tajná.

Kybernetická špionážna skupina Dukes pokračuje v útokoch na vládne ciele

Kybernetická špionážna skupina Dukes sa dostala na chvíľu na výslnie po ich údajnom zapojení sa do útoku na americkú Demokratickú stranu pred prezidentskými voľbami v roku 2016. Po útoku v Nórsku v januári 2017 a aj napriek ich možnému comebacku v novembri 2018 sa táto skupina (zvaná aj APT29 alebo Cozy Bear) akoby stiahla zo špionážnej scény. Výskumníci z bezpečnostnej spoločnosti ESET však objavili operáciu s názvom Ghost Hunt, ktorá začala už oveľa skôr – už v roku 2013. 

ESET zároveň môže potvrdiť, že operácia stále pretrváva. Skupina Dukes sa infiltrovala do ambasády štátu Európskej únie v americkom Washingtone a taktiež do ministerstiev zahraničných vecí minimálne troch rozličných európskych krajín.

Reklama

Ako skupina operuje?

Svoje obete infikuje skupina viacerými technikami. Jednou z nich je spear phishing, teda zasielanie cielených e-mailov, ktorých obsah obeť vyhodnotí ako tak zaujímavý, že ich otvorí. Škodlivý kód sa do zariadenia stiahne buď po zapnutí makier po otvorení škodlivej prílohy alebo po stiahnutí súboru zo škodlivého linku umiestneného v e-mailovej správe a následnom zapnutí makier.

Reklama
MOHLO BY VÁS ZAUJÍMAŤ

Dukes používa vyspelý škodlivý útok, ktorý je rozdelený do štyroch fáz. V prvej fáze získa link na svoj riadiaci a kontrolný server cez Twitter alebo inú sociálnu sieť alebo webstránku. V druhej fáze použije službu Dropbox na získanie príkazov od útočníkov. V tretej fáze infikuje zariadenie jednoduchým backdoorom, ktorý zase v poslednej štvrtej fáze stiahne do zariadenia vyspelejší backdoor s množstvom funkcií a flexibilnou konfiguráciou.

Nové škodlivé kódy

ESET identifikoval tri nové rodiny škodlivého kódu, ktoré sú spojené so skupinou Dukes. „Jedna z prvých verejných stôp tejto škodlivej kampane sa nachádza na komunitnej stránke Reddit od júla 2014,“ vysvetľuje výskumník bezpečnostnej spoločnosti ESET Matthieu Faou. „S vysokou istotou môžeme potvrdiť, že za operáciou Ghost Hunt a za útokom na americkú Demokratickú stranu je tá istá skupina,“ dodáva Faou.

Reklama
hacker ide do väzenia

Pripísanie týchto útokov skupine Dukes je založené na podobnosti taktík pozorovaných v tejto škodlivej kampani v porovnaním s ich predchádzajúcimi útokmi. Dukes konkrétne použili Twitter a Reddit na zdieľanie linkov na svoje riadiace a kontrolné servery.

Reklama

Zároveň aj teraz použili na skrytie škodlivého kódu steganografiu. Cieľmi tejto škodlivej kampane sú opäť ministerstvá zahraničných vecí – dva z troch cieľov boli aj predtým napadnuté touto skupinou. Ďalším dôkazom je podobnosť kódu operácie Ghost Hunt v porovnaní s predchádzajúcimi útokmi.

Pri operácii Ghost Hunt použila skupina Dukes len malé množstvo nástrojov, na skrývanie sa pred detekciou využila viaceré zaujímavé taktiky. Skupina je veľmi vytrvalá a systematicky kradne prístupové údaje na to, aby sa pohybovala po sieti svojej obete. ESET bol svedkom toho, ako infikovali alebo opätovne infikovali zariadenia na tej istej lokálnej sieti použitím administrátorských prístupových údajov.

Viac informácií o tejto operácii nájdete v štúdii Operation Ghost Hunt: The Dukes aren’t back – they never left.

Reklama

Zdroj: TS ESET

Reklama

Mohlo by sa ti páčiť

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- REKLAMA -

Najnovší obsah

- REKLAMA -
Reklama