Hackowali, gdy Trump wygrał wybory w USA. The Dukes wciąż są aktywni i groźni
Grupa cyberprzestępców The Dukes zasłynęła dzięki atakowi na Krajowy Komitet Partii Demokratycznej USA. Przypisuje im się udział w ataku z 2016 roku, poprzedzającego wybory w Stanach Zjednoczonych.
Po tym popisie The Dukes prawdopodobnie dokonali jeszcze dwóch ataków w Norwegii w 2017 roku i słuch o nich zaginął. Jednak nie przeszli na emeryturę. Specjaliści z firmy ESET mają dowody na to, że szpiedzy z The Dukes cały czas są aktywni.
Operacja Ghost Hunt: stare-nowe dzieło The Dukes
Grupa The Dukes (APT29, Cozy Bear) stoi także za operacją szpiegowską Ghost Hunt, prowadzoną od 2013 roku. Analitycy z firmy ESET znaleźli dowody na to, że kampania jest dziełem tych samych osób, co włamanie do komitetu Demokratów. Są to trzy nowe rodziny szkodliwych programów: PolyglotDuke, RegDuke i FatDuke. Malware FatDuke ostatni raz został zaobserwowany w czerwcu 2019 roku.
Cyberprzestępcom udało się przeniknąć do ambasad w Stanach Zjednoczonych i Ministerstw Spraw Zagranicznych w przynajmniej trzech krajach Unii Europejskiej. Możliwe, że podobnych ofiar jest więcej, a specjaliści wciąż nie znają pełnego arsenału The Dukes. Operacja Ghost Hunt była prowadzona równolegle z innymi akcjami i nie od razu odkryta została waga tych ataków.
The Dukes działają jeszcze dłużej. Najstarszy znany malware ich autorstwa PinchDuke pochodzi z 2009 roku. Był używany w atakach na departament obrony Gruzji oraz resorty spraw zagranicznych w Turcji i Ugandzie. Już wtedy The Dukes interesowali się NATO.
Skąd wiadomo, że to The Dukes?
Pierwsze ślady działań zostały upublicznione w 2014 roku na Reddicie. Została tam opublikowana wiadomość z zakodowanym linkiem do serwera C&C (Command and Control), używanego przez PolyglotDuke. To pierwszy znak, że za akcją mogą stać cyberprzestępcy z grupy The Dukes, która używała Twittera i Reddita, by publikować takie wiadomości. Komendy lub szkodliwy kod są ukrywane w obrazkach pod przykrywką kolorów RGB – każdy piksel zawiera bajt danych.
By utrzymać się w systemie, malware wykorzystuje Windows Management Instrumentation – zestaw protokołów systemu Windows, umożliwiający dostęp do zasobów komputera. Nie bez znaczenia jest też wybór celów politycznych – dwa z nich były wcześniej infekowane przez malware ze szczepów CozyDuke, OnionDuke lub MiniDuke. Na niektórych komputerach były widoczne także ślady infekcji szkodliwymi programami grup Turla i Sednit.
Istotne są także podobieństwa w kodzie szkodliwych programów. Porównanie znanych i nowo odkrytych próbek sugeruje, że szkodliwe programy z różnych kampanii wykorzystują podobne funkcje.
Jak działa operacja Ghost Hunt?
Nowe informacje na temat The Dukes i operacji szpiegowskiej przedstawił Matthieu Faou podczas konferencji prasowej firmy ESET w Bratysławie.
Mechanizm działania Ghost Hunt został rozpracowany niemal w całości. Zaczyna się prawdopodobnie od e-maila ze szkodliwym dokumentem, podobnie jak Emotet i wiele innych. Druga hipoteza mówi o podszywaniu się pod zaufaną osobę.
Jeśli na pierwszym etapie na komputerze ofiary zadomowi się malware PolyglotDuke, skorzysta z portalu społecznościowego. Link do serwera C&C zdobędzie z Twittera lub Reddita. Adres jest zadokowany w ciągu znaków w rzadko używanym alfabecie, co wyjaśnia nazwę szkodliwego poligloty. Następnie malware pobierze niewinnie wyglądający obrazek z zakodowanymi instrukcjami.
Jeśli na pierwszym etapie występuje RegDuke, obrazek jest pobierany z Dropboxa.
W następnym etapie instalowany jest malutki backdoor MiniDuke, który z kolejnego pliku graficznego wydobywa FatDuke – zaawansowany backdoor o bogatych możliwościach. The Dukes bardzo często zmieniają sposób zaciemniania FatDuke, by lepiej unikać ochrony antywirusowej.
– Jesteśmy pewni i możemy potwierdzić, że ta sama grupa stoi za operacją Ghost Hunt i atakami na komitet Demokratów w 2016 roku – podsumował swoją prezentację Matthieu Faou. W tej branży nie można pozwolić sobie na pewność, jeśli nie ma na to niezbitych dowodów. Wniosek z jego prezentacji jest prosty, ale niepokojący. Nawet jeśli o grupie hakerskiej nic się nie mówi, może być aktywna i atakować strategiczne cele. Matthieu Faou przypomniał też o wyborach prezydenckich w USA w 2020 roku – The Dukes mogą znów zaatakować, używając nowych narzędzi.
Chcesz być bezpieczny w sieci? Przed wieloma zagrożeniami ochroni cię BitDefender.