Die russischen Hacker, die die Wahlen 2016 getroffen haben, sind seitdem sehr beschäftigt

Der Kreml

Der KremlFoto: Der Kreml von Mariano Mantel CC BY NC 2.0

Seit sie 2016 eine der Gruppen waren, die an dem berüchtigten Hack des Demokratischen Nationalkomitees beteiligt waren, ist die Spur der russischen Geheimdienst-Hacker, die als Cozy Bear bekannt sind, weitgehend kalt geworden.

Neue Forschungen zeigen jedoch, dass Cozy Bear (auch bekannt als Dukes) überhaupt nicht verschwunden ist. Obwohl es ihnen gelang, sich über zwei Jahre aus dem Rampenlicht herauszuhalten, war die Gruppe aktiv an einer sechsjährigen Spionagekampagne beteiligt, die sich gegen die Außenministerien in mindestens drei europäischen Ländern und eine Botschaft in Washington, DC, richtete Land der Europäischen Union, gem neue Arbeit des slowakischen Cybersicherheitsunternehmens ESET.



Zwei weitere fortschrittliche Hacking-Gruppen aus Russland mit den Codenamen Fancy Bear und Turla wurden auf einigen der gleichen angegriffenen Computer gefunden. Russische Hacking-Gruppen aus verschiedenen Regierungszweigen – in diesem Fall das Militär und die Geheimdienste – sind dafür bekannt, dass sie aggressiv miteinander konkurrieren, wenn sie es auf hochwertige Ziele abgesehen haben.

Die hartnäckige und akribische Kampagne von Cozy Bear gegen eine Reihe europäischer politischer Ziele verwendet neue Malware und Taktiken in dem, was die Forscher Operation Ghost nennen, einer Kampagne, die bis ins Jahr 2013 zurückreicht und mindestens bis Juni 2019 andauert.

Steigen Sie durch die Hintertür ein: Die Hacker beginnen ihren Angriff in der Regel mit Spear-Phishing-E-Mails – Nachrichten, die sorgfältig entwickelt wurden, um sehr spezifische Ziele dazu zu bringen, auf bösartige Links zu klicken und einen Prozess zum Herunterladen gefährlicher Software zu starten, die Cozy Bear die Kontrolle über wichtige Computer und Konten gibt. Die Details darüber, wie die Hacker dieses Ziel erreichen, zeigen, dass sie in dem, was sie tun, zu den Besten der Welt gehören.

Die Kampagne, die größtenteils während der Arbeitszeit in der Moskauer Zeitzone durchgeführt wurde, umfasste mehrere neue Malware-Familien, die während dieser Operation entdeckt wurden.

Eine neuartige Malware-Familie namens FatDuke wurde speziell von dieser Gruppe entwickelt, um einen versteckten und leisen Hintertürzugriff auf den Computer eines Opfers zu ermöglichen, indem der Browser des Ziels bis auf bestimmte Details wie die Verwendung desselben Benutzeragenten wie der auf dem System installierte Browser imitiert wird.

So vermuten Forscher, dass eine Art von Angriff von Operation Ghost ablaufen könnte: Ein Ziel, beispielsweise ein europäischer Diplomat, würde eine E-Mail erhalten, die speziell darauf ausgelegt ist, sie dazu zu bringen, ein bösartiges Dokument herunterzuladen. Dieses Dokument würde PolyglotDuke-Malware enthalten, deren Ziel es ist, heimlich andere Malware auf dem Computer zu installieren. Dazu schaut sich die Malware vorgegebene Nachrichten auf beliebten Seiten wie Reddit an, die wie normaler Internetverkehr aussehen. Ein Bild wird heruntergeladen, das eine Taktik namens Steganographie verwendet, die eine Bilddatei subtil ändert, um verschlüsselte Daten einschließlich zusätzlicher Nutzlasten zu verbergen. Plötzlich enthalten normal aussehende Fotos bösartigen und fast unsichtbaren Code.

Sie werden die MiniDuke-Hintertür installieren und dann, als Stufe drei des Playbooks für die interessantesten und wichtigsten Ziele, zu FatDuke wechseln. Ein erfolgreicher Einsatz von FatDuke, dem aktuellen Flaggschiff der Dukes, bedeutet, dass der Kampf vorbei ist.

Tief liegen: Außergewöhnlich an dieser Gruppe und dieser Kampagne ist auch die Art und Weise, wie die Netzwerkinfrastruktur der Operation für jedes Opfer neu aufgebaut wurde.

Diese Art der Kompartimentierung wird im Allgemeinen nur von den akribischsten Angreifern gesehen, sagten die ESET-Forscher Matthieu Faou, Mathieu Tartare und Thomas Dupuy der neue Bericht . „Es verhindert, dass die gesamte Operation verbrannt wird, wenn ein einzelnes Opfer die Infektion entdeckt und das zugehörige Netzwerk [Indikatoren für eine Kompromittierung] mit der Sicherheitsgemeinschaft teilt.

Cozy Bear ist seit über einem Jahrzehnt aktiv.

Unsere neue Forschung zeigt, dass selbst wenn eine Spionagegruppe für viele Jahre aus der öffentlichen Berichterstattung verschwindet, sie möglicherweise nicht aufgehört hat zu spionieren, schrieben die Forscher. Cozy Bear konnten viele Jahre lang unter dem Radar fliegen und dabei wie zuvor hochwertige Ziele gefährden.

verbergen