211service.com
2016 m. rinkimuose pataikę Rusijos programišiai nuo tada buvo labai užsiėmę
Nuotrauka: Kremlius, Mariano Mantel CC BY NC 2.0
Nuo tada, kai jie buvo viena iš grupių, susijusių su liūdnai pagarsėjusiu Demokratų nacionalinio komiteto įsilaužimu 2016 m., Rusijos žvalgybos įsilaužėliams, žinomiems kaip „Jaukusis lokys“, iš esmės atšalo pėdsakai.
Tačiau nauji tyrimai rodo, kad Cozy Bear (taip pat žinomas kaip kunigaikščiai) niekada neišnyko. Nors jiems pavyko daugiau nei dvejus metus likti nuošalyje, grupuotė aktyviai dalyvavo šešerius metus trunkančioje šnipinėjimo kampanijoje, nukreiptoje į mažiausiai trijų Europos šalių užsienio reikalų ministerijas ir Vašingtono ambasadą Vašingtone. Europos Sąjungos tauta, pasak Naujas darbas pateikė Slovakijos kibernetinio saugumo įmonė ESET.
Kai kuriuose tuose pačiuose pažeistuose kompiuteriuose buvo rastos kitos dvi pažangios įsilaužimo grupės iš Rusijos, turinčios kodinius pavadinimus „Fancy Bear“ ir „Turla“. Yra žinoma, kad Rusijos įsilaužėlių grupės iš skirtingų vyriausybės šakų – šiuo atveju kariuomenės ir žvalgybos agentūrų – agresyviai konkuruoja tarpusavyje, siekdamos didelės vertės taikinių.
Atkaklioje ir kruopščioje „Cozy Bear“ kampanijoje, nukreiptoje prieš įvairius Europos politinius taikinius, naudojamos naujos kenkėjiškos programos ir taktika, kurią mokslininkai vadina „Operation Ghost“ – kampanija, kurios šaknys siekia 2013 m. ir tęsiasi bent iki 2019 m. birželio mėn.
Įeikite pro galines duris: Įsilaužėliai paprastai pradeda savo ataką nuo sukčiavimo el. laiškų – žinutėmis, kurios kruopščiai sukurtos tam, kad apgaudinėtų labai konkrečius taikinius, kad jie spustelėtų kenkėjiškas nuorodas ir prasidėtų pavojingos programinės įrangos atsisiuntimo procesas, leidžiantis Cozy Bear valdyti pagrindinius įrenginius ir paskyras. Išsami informacija apie tai, kaip įsilaužėliai pasiekia šį tikslą, rodo, kad jie yra vieni geriausių pasaulyje.
Kampanija, daugiausia vykdoma darbo valandomis Maskvos laiko juostoje, apėmė kelias naujas kenkėjiškų programų šeimas, kurios buvo aptiktos šios operacijos metu.
Naują kenkėjiškų programų šeimą, žinomą kaip FatDuke, sukūrė specialiai ši grupė, kad suteiktų paslėptą ir tylią prieigą prie aukos kompiuterio, apsimetinėdama taikinio naršykle iki konkrečios detalės, pvz., naudojant tą patį vartotojo agentą kaip ir sistemoje įdiegta naršyklė.
Štai kaip mokslininkai spėja, kad gali išsivystyti vienos rūšies operacijos „Vaiduoklis“ ataka: taikinys, tarkime, Europos diplomatas, gaus el. laišką, specialiai sukurtą tam, kad ji atsisiųstų kenkėjišką dokumentą. Tame dokumente bus PolyglotDuke kenkėjiškų programų, kurių tikslas yra slapta įrenginyje įdiegti kitas kenkėjiškas programas. Kad tai padarytų, kenkėjiška programa peržiūri iš anksto nustatytus pranešimus tokiose populiariose svetainėse kaip Reddit, kurios atrodo kaip įprastas interneto srautas. Atsisiunčiamas vaizdas, kuriame naudojama taktika, vadinama steganografija, kuri subtiliai pakeičia vaizdo failą, kad paslėptų užkoduotus duomenis, įskaitant papildomus naudingus krovinius. Staiga normaliai atrodančiose nuotraukose yra kenkėjiško ir beveik nematomo kodo.
Jie įdiegs „MiniDuke“ užpakalines duris, o tada, kaip trečią įdomiausių ir svarbiausių objektų žaidimo etapą, pereis į „FatDuke“. Sėkmingas FatDuke dislokavimas, vadinamas dabartiniu pavyzdiniu užpakalinėmis durimis, kurias naudoja kunigaikščiai, reiškia, kad mūšis baigėsi.
Žemai guli: Šios grupės ir šios kampanijos išskirtinumas yra tai, kaip operacijos tinklo infrastruktūra buvo sukurta naujai kiekvienai aukai.
Tokį skirstymą į skyrius paprastai mato tik patys kruopštiausi užpuolikai, sakė ESET tyrinėtojai Matthieu Faou, Mathieu Tartare ir Thomas Dupuy. naują ataskaitą . „Tai neleidžia sudeginti visos operacijos, kai viena auka aptinka infekciją ir bendrina susijusį tinklą [kompromiso rodiklius] su saugumo bendruomene.
Cozy Bear veikia jau daugiau nei dešimtmetį.
Mūsų nauji tyrimai rodo, kad net jei šnipinėjimo grupė dingsta iš viešų pranešimų daugeliui metų, ji galėjo nenutraukti šnipinėjimo, rašė mokslininkai. „Cosy Bear“ daugelį metų galėjo skraidyti po radaru, kaip ir anksčiau, pažeidžiant didelės vertės taikinius.