ESET повідомляє про виявлення атак групи хакерів Dukes (APT29 або Cozy Bear) на урядові установи в Європі. Нова операція кіберзлочинців, яка отримала назву “Ghost”, розпочалася ще у 2013 році та триває до цього часу.

Зокрема хакери Dukes здійснили втручання в інформаційні системи міністерств закордонних справ щонайменше у трьох країнах Європи та посольства держави-члена ЄС у Вашингтоні.

Варто зазначити, що ця група опинилися в центрі уваги громадськості після підозри у причетності Dukes до кібератаки на Національний комітет Демократичної партії перед виборами у США у 2016 році. Після фішингової кампанії, спрямованої на уряд Норвегії, в січні 2017 року, кіберзлочинці, здавалося б, припинили свою шпигунську діяльність.

Однак під час нового дослідження спеціалісти ESET виявили три нових сімейства шкідливих програм, пов’язаних із Dukes — PolyglotDuke, RegDuke та FatDuke.

“Одну з перших публічних вказівок на цю кампанію можна знайти на Reddit у липні 2014 року, — розповідає Матьє Фау, дослідник ESET. — Ми можемо з високою впевненістю підтвердити, що одна і та ж група стоїть за операцією “Ghost” та атакою на Національний комітет Демократичної партії”.

Причетність групи до цих атак базується на декількох схожих елементах тактики цієї та попередніх кампаній групи. Зокрема, група використовувала Twitter та Reddit для розповсюдження URL-адрес командного сервера та застосовувала стеганографію в картинках, щоб приховати шкідливі компоненти чи команди. Крім цього, два із трьох атакованих міністерств були попередньо скомпрометовані. Принаймні, на одній машині був інсталятор від групи Dukes, який було встановлено ще кілька місяців тому. Ще одним доказом причетності групи є велика схожість коду між виявленими раніше зразками та операцією “Ghost”.

“Перша компіляція PolyglotDuke – це вірус MiniDuke, який був зафіксований в 2013 році. Таким чином, ми вважаємо, що операція “Ghost” проводилася одночасно з іншими кампаніями і до цього часу залишалася непоміченою”, — пояснює Фау.

В цій операції група Dukes використовувала обмежену кількість інструментів, покладаючись на різноманітні тактики для уникнення виявлення. Зокрема, кіберзлочинці систематично викрадали дані та використовували їх для прихованого поширення в мережі жертв. Наприклад, спеціалісти ESET зафіксували використання облікових даних адміністратора для компрометації або повторної компрометації машин у локальній мережі.

Група Dukes використовує складний механізм розповсюдження шкідливого програмного забезпечення, який розділений на чотири етапи. Спочатку кіберзлочинці поширюють URL-адресу командного сервера через Twitter або інші соціальні мережі та веб-сайти. Потім шкідливе програмне забезпечення використовує Dropbox для отримання команд від зловмисників. Згодом механізм відкриває простий бекдор, який, в свою чергу, завантажує більш складний бекдор із великою кількістю функціональних можливостей та гнучкою конфігурацією.

Детальнішу інформацію про загрозу та ідентифікатори компрометації можна знайти за посиланням.

До речі, комп’ютери, що використовують операційну систему Windows 7, в два рази частіше схильні до зараження, ніж комп’ютери на базі Windows 10.

Зверніть увагу, що останнє оновлення операційної системи для Mac, MacOS Catalina, було випущено на початку цього тижня, і разом із цим з’явився цілий список проблем – як незначних, так і великих.

Також компанія Microsoft оголосила, що розширена підтримка для Office 2010 буде діяти до 13 жовтня 2020 року. Після цієї дати офісний пакет версії 2010 більше не буде отримувати оновлення безпеки.

Дослідники з кібербезпеки з компанії Fortinet виявили декілька вразливостей в роутерах D-Link. Багато з цих маршрутизаторів досі знаходяться у вільному продажі в інтернет-магазинах, хоча D-Link вже припинила їх виробництво і підтримку. Як перевірити, чи Ваш роутер досі підтримується виробником і для нього доступні оновлення безпеки, дізнайтесь зі статті.

Не всі загрози для дитини в Інтернет-просторі є результатом дій кіберзлочинців. Часто проблеми юних користувачів можуть бути спричинені знущаннями товаришів. Вже давно цькування (буллінг) серед підлітків вийшло за межі школи та поширилося на кіберпростір.

Ця стаття Група хакерів атакує урядові установи ЄС раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин