Venäjän tiedustelupalvelu tähtää nopeiden kyberhyökkäysten uhreihin maailmanlaajuisesti

Venäjän valtion hakkerit suorittavat kohdennettuja tietojenkalastelukampanjoita vähintään yhdeksässä maassa neljällä mantereella. Heidän sähköpostinsa mainostavat valtion virallista liiketoimintaa ja onnistuessaan uhkaavat paitsi arkaluonteisia organisaatiotietoja myös strategisesti tärkeätä geopoliittista älykkyyttä.

Tällaisen hienostuneen, monitahoisen juonen voisi toteuttaa vain niin tuottelias ryhmä kuin Fancy Bear (alias APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 ja monet muut aliakset edelleen), joita IBM X-Force seuraa nimellä ITG05 uusi raportti.

Vakuuttavien hallitusaiheisten vieheiden ja kolmen uuden mukautetun takaoven muunnelman lisäksi kampanja erottuu eniten kohdistamallaan tiedolla: Fancy Bear näyttää tavoittelevan erittäin tarkkaa tietoa Venäjän hallitukselle.

Valtion phishing-vieheet

Fancy Bear on käyttänyt ainakin 11 ainutlaatuista viehettä kampanjoissa, jotka on kohdistettu organisaatioille Argentiinassa, Ukrainassa, Georgiassa, Valko-Venäjällä, Kazakstanissa, Puolassa, Armeniassa, Azerbaidžanissa ja Yhdysvalloissa.

Vieheet näyttävät virallisilta kansainvälisiin hallituksiin liittyviltä asiakirjoilta, jotka kattavat niinkin laajoja teemoja kuin rahoitus, kriittinen infrastruktuuri, johdon sitoumukset, kyberturvallisuus, merenkulun turvallisuus, terveydenhuolto ja puolustusteollisuus.

Jotkut näistä ovat laillisia, julkisesti saatavilla olevia asiakirjoja. Muut näyttävät olevan tiettyjen valtion virastojen sisäisiä, mikä herättää kysymyksen siitä, kuinka Fancy Bear sai heidät käsiinsä.

"X-Forcella ei ole näkemystä siitä, onko ITG05 onnistunut vaarantamaan matkitut organisaatiot", huomauttaa Claire Zaboeva, IBM X-Forcen uhkien metsästäjä. "Koska ITG05:llä on mahdollista käyttää luvatonta pääsyä sisäisten asiakirjojen keräämiseen, olemme ilmoittaneet kaikille jäljitellyille osapuolille toiminnasta ennen julkaisua osana vastuullista tiedonantopolitiikkaamme."

Vaihtoehtoisesti Fancy Bear/ITGO5 on voinut vain jäljitellä oikeita tiedostoja. "Esimerkiksi joissakin paljastuneissa asiakirjoissa on havaittavia virheitä, kuten tärkeimpien osapuolten nimien kirjoitusvirhe virallisilta valtion sopimuksilta", hän sanoi.

Mahdollinen motiivi?

Toinen näiden vieheiden tärkeä ominaisuus on, että ne ovat melko erityisiä.

Esimerkkejä englanninkielisistä kielistä ovat georgialaisen kansalaisjärjestön kyberturvallisuuspolitiikkaa koskeva asiakirja ja tammikuun matkasuunnitelma, jossa esitetään yksityiskohtaisesti vuoden 2024 kokous- ja harjoituskellopoiju (XBB24) Yhdysvaltain laivaston Tyynenmeren Intian valtameren laivaustyöryhmän (PACIOSWG) osallistujille.

Ja on olemassa myös rahoitusaiheisia vieheitä: Valko-Venäjän asiakirja, joka sisältää suosituksia kaupallisten edellytysten luomiseksi valtioiden välisen yrityksen helpottamiseksi vuoteen 2025 mennessä, Euraasian talousliiton aloitteen mukaisesti, Argentiinan talousministeriön budjettipoliittinen asiakirja, joka tarjoaa "strategisia suuntaviivoja" presidentti kansallisen talouspolitiikan kanssa ja paljon muuta vastaavaa.

"On todennäköistä, että arkaluonteisten tietojen kerääminen budjettikysymyksistä ja globaalien yksiköiden turvallisuusasenteista on korkean prioriteetin kohde ITG05:n vakiintuneen tehtävätilan vuoksi", X-Force sanoi kampanjaa koskevassa raportissaan.

Esimerkiksi Argentiina hylkäsi hiljattain kutsun liittyä BRICS-kauppajärjestöön (Brasilia, Venäjä, Intia, Kiina, Etelä-Afrikka), joten "on mahdollista, että ITG05 pyrkii saamaan pääsyn, joka saattaa antaa käsityksen Argentiinan hallituksen prioriteeteista ”, X-Force sanoi.

Hyödyntämisen jälkeinen toiminta

Spesifisyyden ja vaikutelman legitiimiyden lisäksi hyökkääjät käyttävät vielä yhtä psykologista temppua uhrien ansaan saamiseksi: esittelevät heille aluksi vain sumean version asiakirjasta. Kuten alla olevassa kuvassa, vastaanottajat näkevät juuri sen verran yksityiskohtia, että nämä asiakirjat näyttävät virallisilta ja tärkeiltä, ​​mutta eivät tarpeeksi, jotta niitä ei tarvitse klikata.

Näyte viehe asiakirja; Lähde: IBM

Kun uhrit hyökkääjien hallitsemilla sivustoilla napsauttavat katsoakseen houkutusasiakirjoja, he lataavat Python-takaoven nimeltä "Masepie". Se löydettiin ensimmäisen kerran joulukuussa, ja se pystyy varmistamaan pysyvyyden Windows-koneessa ja mahdollistamaan tiedostojen lataamisen ja lataamisen sekä mielivaltaisten komentojen suorittamisen.

Yksi tiedostoista, joita Masepie lataa tartunnan saaneisiin koneisiin, on "Oceanmap", C#-pohjainen työkalu komentojen suorittamiseen Internet Message Access Protocol (IMAP) -protokollan kautta. Oceanmapin alkuperäisessä versiossa – ei tässä käytetyssä – oli tietoa varastava toiminto, joka on sittemmin poistettu ja siirretty "Steelhookiin", toiseen tähän kampanjaan liittyvään Masepien lataamaan hyötykuormaan.

Steelhook on PowerShell-skripti, jonka tehtävänä on suodattaa tietoja Google Chromesta ja Microsoft Edgestä webhookin kautta.

Haittaohjelmiaan merkittävämpi on Fancy Bearin välitön toiminta. Kuten kuvataan ensin Ukrainan Computer Emergency Response Team (CERT-UA), Fancy Bear -tartunnat ensimmäisen tunnin laskeutuessa uhrikoneelle, lataa takaovia ja suorita tiedustelu ja sivuttaisliike varastettujen NTLMv2-hajautusten kautta välityshyökkäyksiä varten.

Mahdollisten uhrien on siis toimittava nopeasti tai, mikä vielä parempaa, valmistauduttava etukäteen tartuntaa varten. He voivat tehdä sen noudattamalla IBM:n suositusluetteloa: Fancy Bearin isännöintipalveluntarjoajan FirstCloudIT:n tarjoamien URL-osoitteiden ja epäilyttävän IMAP-liikenteen valvonta tuntemattomille palvelimille, korjaamalla sen suosimia haavoittuvuuksia, kuten CVE-2024-21413, CVE-2024. -21410, CVE-2023-23397, CVE-2023-35636 – ja paljon muuta.

"ITG05 jatkaa hyökkäyksiä maailmanhallituksia ja niiden poliittista koneistoa vastaan ​​tarjotakseen Venäjälle edistyneen käsityksen tulevista poliittisista päätöksistä", tutkijat päättivät.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks