Az orosz hírszerzés a gyorstüzelő kibertámadások áldozatait célozza világszerte

Az orosz állami hackerek célzott adathalász kampányokat hajtanak végre négy kontinensen, legalább kilenc országban. E-mailjeik hivatalos kormányzati ügyeket hirdetnek, és ha sikeresek, akkor nem csak érzékeny szervezeti adatokat, hanem stratégiai fontosságú geopolitikai intelligenciákat is fenyegetnek.

Ilyen kifinomult, sokrétű cselekményt csak egy olyan termékeny csoport tud megvalósítani, mint Fancy Bear (más néven APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 és még sok más álnév), amelyet az IBM X-Force ITG05-ként követ egy új jelentés.

A meggyőző kormányzati témájú csalik és az egyedi hátsó ajtók három új változata mellett a kampány leginkább az általa megcélzott információkkal tűnik ki: úgy tűnik, hogy a Fancy Bear az orosz kormány számára hasznos, rendkívül specifikus információkra törekszik.

Kormányzati adathalász csalik

A Fancy Bear legalább 11 egyedi csalit használt Argentínában, Ukrajnában, Grúziában, Fehéroroszországban, Kazahsztánban, Lengyelországban, Örményországban, Azerbajdzsánban és az Egyesült Államokban működő szervezeteket célzó kampányokban.

A csalik úgy néznek ki, mint a nemzetközi kormányokhoz kapcsolódó hivatalos dokumentumok, amelyek olyan széles témákat fednek le, mint a pénzügy, a kritikus infrastruktúra, a vezetői kötelezettségek, a kiberbiztonság, a tengeri biztonság, az egészségügy és a védelmi ipari termelés.

Ezek egy része legitim, nyilvánosan hozzáférhető dokumentumok. Mások érdekes módon bizonyos kormányzati ügynökségeken belülinek tűnnek, és felvetik a kérdést, hogy a Fancy Bear egyáltalán hogyan került rájuk.

„Az X-Force-nak nincs rálátása arra, hogy az ITG05 sikeresen kompromittálta-e a megszemélyesített szervezeteket” – jegyzi meg Claire Zaboeva, az IBM X-Force fenyegetésvadásza. „Mivel lehetséges, hogy az ITG05 kihasználta a jogosulatlan hozzáférést a belső dokumentumok összegyűjtéséhez, a felelősségteljes nyilvánosságra hozatali szabályzatunk részeként a közzététel előtt értesítettük az összes imitált felet a tevékenységről.”

Alternatív megoldásként a Fancy Bear/ITGO5 pusztán valódi fájlokat imitált. "Például, egyes feltárt dokumentumokon olyan észrevehető hibák vannak, mint például a fő felek nevének elírása a hivatalos állami szerződéseknek tűnő szerződésekben" - mondta.

Lehetséges indíték?

Ezeknek a csaliknak egy másik fontos tulajdonsága, hogy meglehetősen specifikusak.

Az angol nyelvű példák közé tartozik egy grúz nem kormányzati szervezet kiberbiztonsági szakpolitikai dokumentuma, valamint egy januári útiterv, amely részletezi a 2024-es Meeting and Exercise Bell bóját (XBB24) az amerikai haditengerészet csendes-óceáni hajózási munkacsoportja (PACIOSWG) résztvevői számára.

És ott vannak a pénzügyi témájú csábítások: egy fehérorosz dokumentum, amely ajánlásokat tartalmaz az államközi vállalkozások 2025-ig történő kereskedelmi feltételeinek megteremtésére, az Eurázsiai Gazdasági Unió kezdeményezéséhez igazodva, az argentin Gazdasági Minisztérium költségvetési politikai dokumentuma, amely „stratégiai iránymutatásokat” kínál a gazdaság támogatására. elnököt a nemzetgazdasági politikával, és több ilyen irányzattal.

„Valószínűleg a költségvetési aggályokkal és a globális entitások biztonsági helyzetével kapcsolatos érzékeny információk gyűjtése kiemelt cél, tekintettel az ITG05 kiépített küldetési területére” – mondta az X-Force a kampányról szóló jelentésében.

Argentína például a közelmúltban elutasította a BRICS (Brazília, Oroszország, India, Kína, Dél-Afrika) kereskedelmi szervezethez való csatlakozásra vonatkozó felkérést, így „lehetséges, hogy az ITG05 olyan hozzáférést kíván elérni, amely betekintést nyújthat az argentin kormány prioritásaiba – mondta az X-Force.

Kizsákmányolás utáni tevékenység

A konkrétságon és a legitimitás látszatán kívül a támadók még egy pszichológiai trükköt alkalmaznak az áldozatok behálózására: kezdetben csak a dokumentum elmosódott változatát mutatják be nekik. Ahogy az alábbi képen is látható, a címzettek éppen elég részletet láthatnak ahhoz, hogy meggyőződjenek arról, hogy ezek a dokumentumok hivatalosnak és fontosnak tűnnek, de nem elég ahhoz, hogy ne kelljen rájuk kattintani.

Minta csali dokumentum; Forrás: IBM

Amikor a támadók által ellenőrzött webhelyeken az áldozatok rákattintnak a csalogató dokumentumok megtekintéséhez, letöltenek egy Python hátsó ajtót, a „Masepie”-t. Decemberben fedezték fel először, és képes a Windows-os gépeken a kitartás megteremtésére, valamint a fájlok letöltésére és feltöltésére, valamint tetszőleges parancsvégrehajtásra.

Az egyik fájl, amelyet a Masepie letölt a fertőzött gépekre, az „Oceanmap”, egy C#-alapú eszköz az Internet Message Access Protocol (IMAP) protokollon keresztüli parancsok végrehajtására. Az Oceanmap eredeti változata – nem az itt használt – rendelkezett információlopó funkcióval, amelyet azóta kivágtak, és áthelyeztek a „Steelhook”-ba, a másik, a kampányhoz kapcsolódó, Masepie-től letöltött rakományba.

A Steelhook egy PowerShell-szkript, amelynek feladata az adatok kiszűrése a Google Chrome-ból és a Microsoft Edge-ből egy webhook segítségével.

A rosszindulatú szoftvereknél figyelemre méltóbb a Fancy Bear azonnali cselekvése. Mint először leírták az ukrán Computer Emergency Response Team (CERT-UA) által: Fancy Bear fertőzések az áldozat gépen való landolás első órájában, a hátsó ajtók letöltése, valamint az ellopott NTLMv2 kivonatokon keresztül történő felderítés és oldalirányú mozgás a közvetítő támadásokhoz.

A potenciális áldozatoknak tehát gyorsan kell cselekedniük, vagy ami még jobb, előre fel kell készülniük fertőzéseikre. Ezt úgy tehetik meg, hogy követik az IBM ajánlásainak mosodai listáját: figyelik a Fancy Bear tárhelyszolgáltatója, a FirstCloudIT által kiszolgált URL-eket tartalmazó e-maileket, valamint az ismeretlen szerverekre irányuló gyanús IMAP-forgalmat, kiküszöbölve az előnyben részesített sebezhetőségeket – például CVE-2024-21413, CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 – és még sok más.

„Az ITG05 továbbra is a világ kormányai és politikai apparátusa elleni támadásokat fogja ösztönözni, hogy Oroszország fejlettebb betekintést nyújtson a kialakulóban lévő politikai döntésekbe” – összegezték a kutatók.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks