Hackowali, gdy Trump wygrał wybory w USA. The Dukes wciąż są aktywni i groźni

Po tym popisie The Dukes prawdopodobnie dokonali jeszcze dwóch ataków w Norwegii w 2017 roku i słuch o nich zaginął. Jednak nie przeszli na emeryturę. Specjaliści z firmy ESET mają dowody na to, że szpiedzy z The Dukes cały czas są aktywni.

Grupa The Dukes (APT29, Cozy Bear) stoi także za operacją szpiegowską Ghost Hunt, prowadzoną od 2013 roku. Analitycy z firmy ESET znaleźli dowody na to, że kampania jest dziełem tych samych osób, co włamanie do komitetu Demokratów. Są to trzy nowe rodziny szkodliwych programów: PolyglotDuke, RegDuke i FatDuke. Malware FatDuke ostatni raz został zaobserwowany w czerwcu 2019 roku.

Cyberprzestępcom udało się przeniknąć do ambasad w Stanach Zjednoczonych i Ministerstw Spraw Zagranicznych w przynajmniej trzech krajach Unii Europejskiej. Możliwe, że podobnych ofiar jest więcej, a specjaliści wciąż nie znają pełnego arsenału The Dukes. Operacja Ghost Hunt była prowadzona równolegle z innymi akcjami i nie od razu odkryta została waga tych ataków.

The Dukes działają jeszcze dłużej. Najstarszy znany malware ich autorstwa PinchDuke pochodzi z 2009 roku. Był używany w atakach na departament obrony Gruzji oraz resorty spraw zagranicznych w Turcji i Ugandzie. Już wtedy The Dukes interesowali się NATO.

Pierwsze ślady działań zostały upublicznione w 2014 roku na Reddicie. Została tam opublikowana wiadomość z zakodowanym linkiem do serwera C&C (Command and Control), używanego przez PolyglotDuke. To pierwszy znak, że za akcją mogą stać cyberprzestępcy z grupy The Dukes, która używała Twittera i Reddita, by publikować takie wiadomości. Komendy lub szkodliwy kod są ukrywane w obrazkach pod przykrywką kolorów RGB – każdy piksel zawiera bajt danych.

By utrzymać się w systemie, malware wykorzystuje Windows Management Instrumentation – zestaw protokołów systemu Windows, umożliwiający dostęp do zasobów komputera. Nie bez znaczenia jest też wybór celów politycznych – dwa z nich były wcześniej infekowane przez malware ze szczepów CozyDuke, OnionDuke lub MiniDuke. Na niektórych komputerach były widoczne także ślady infekcji szkodliwymi programami grup Turla i Sednit.

Istotne są także podobieństwa w kodzie szkodliwych programów. Porównanie znanych i nowo odkrytych próbek sugeruje, że szkodliwe programy z różnych kampanii wykorzystują podobne funkcje.

Nowe informacje na temat The Dukes i operacji szpiegowskiej przedstawił Matthieu Faou podczas konferencji prasowej firmy ESET w Bratysławie.

Mechanizm działania Ghost Hunt został rozpracowany niemal w całości. Zaczyna się prawdopodobnie od e-maila ze szkodliwym dokumentem, podobnie jak Emotet i wiele innych. Druga hipoteza mówi o podszywaniu się pod zaufaną osobę.

Jeśli na pierwszym etapie na komputerze ofiary zadomowi się malware PolyglotDuke, skorzysta z portalu społecznościowego. Link do serwera C&C zdobędzie z Twittera lub Reddita. Adres jest zadokowany w ciągu znaków w rzadko używanym alfabecie, co wyjaśnia nazwę szkodliwego poligloty. Następnie malware pobierze niewinnie wyglądający obrazek z zakodowanymi instrukcjami.

Jeśli na pierwszym etapie występuje RegDuke, obrazek jest pobierany z Dropboxa.

W następnym etapie instalowany jest malutki backdoor MiniDuke, który z kolejnego pliku graficznego wydobywa FatDuke – zaawansowany backdoor o bogatych możliwościach. The Dukes bardzo często zmieniają sposób zaciemniania FatDuke, by lepiej unikać ochrony antywirusowej.

– Jesteśmy pewni i możemy potwierdzić, że ta sama grupa stoi za operacją Ghost Hunt i atakami na komitet Demokratów w 2016 roku – podsumował swoją prezentację Matthieu Faou. W tej branży nie można pozwolić sobie na pewność, jeśli nie ma na to niezbitych dowodów. Wniosek z jego prezentacji jest prosty, ale niepokojący. Nawet jeśli o grupie hakerskiej nic się nie mówi, może być aktywna i atakować strategiczne cele. Matthieu Faou przypomniał też o wyborach prezydenckich w USA w 2020 roku – The Dukes mogą znów zaatakować, używając nowych narzędzi.

Chcesz być bezpieczny w sieci? Przed wieloma zagrożeniami ochroni cię BitDefender.