Hackowali, gdy Trump wygrał wybory w USA. The Dukes wciąż są aktywni i groźni

Grupa cyberprzestępców The Dukes zasłynęła dzięki atakowi na Krajowy Komitet Partii Demokratycznej USA. Przypisuje im się udział w ataku z 2016 roku, poprzedzającego wybory w Stanach Zjednoczonych.

Hackowali podczas wyborów w USA. The Dukes nie zniknęli – są aktywni i groźni
Hackowali podczas wyborów w USA. The Dukes nie zniknęli – są aktywni i groźni

Po tym popisie The Dukes prawdopodobnie dokonali jeszcze dwóch ataków w Norwegii w 2017 roku i słuch o nich zaginął. Jednak nie przeszli na emeryturę. Specjaliści z firmy ESET mają dowody na to, że szpiedzy z The Dukes cały czas są aktywni.

Operacja Ghost Hunt: stare-nowe dzieło The Dukes

Grupa The Dukes (APT29, Cozy Bear) stoi także za operacją szpiegowską Ghost Hunt, prowadzoną od 2013 roku. Analitycy z firmy ESET znaleźli dowody na to, że kampania jest dziełem tych samych osób, co włamanie do komitetu Demokratów. Są to trzy nowe rodziny szkodliwych programów: PolyglotDuke, RegDuke i FatDuke. Malware FatDuke ostatni raz został zaobserwowany w czerwcu 2019 roku.

Cyberprzestępcom udało się przeniknąć do ambasad w Stanach Zjednoczonych i Ministerstw Spraw Zagranicznych w przynajmniej trzech krajach Unii Europejskiej. Możliwe, że podobnych ofiar jest więcej, a specjaliści wciąż nie znają pełnego arsenału The Dukes. Operacja Ghost Hunt była prowadzona równolegle z innymi akcjami i nie od razu odkryta została waga tych ataków.

Terminarz pracy grupy The Dukes opracowany na podstawie danych telemetrycznych (ESET, Matthieu Faou)
Terminarz pracy grupy The Dukes opracowany na podstawie danych telemetrycznych (ESET, Matthieu Faou)

The Dukes działają jeszcze dłużej. Najstarszy znany malware ich autorstwa PinchDuke pochodzi z 2009 roku. Był używany w atakach na departament obrony Gruzji oraz resorty spraw zagranicznych w Turcji i Ugandzie. Już wtedy The Dukes interesowali się NATO.

Skąd wiadomo, że to The Dukes?

Pierwsze ślady działań zostały upublicznione w 2014 roku na Reddicie. Została tam opublikowana wiadomość z zakodowanym linkiem do serwera C&C (Command and Control), używanego przez PolyglotDuke. To pierwszy znak, że za akcją mogą stać cyberprzestępcy z grupy The Dukes, która używała Twittera i Reddita, by publikować takie wiadomości. Komendy lub szkodliwy kod są ukrywane w obrazkach pod przykrywką kolorów RGB – każdy piksel zawiera bajt danych.

Każdy piksel opisują 3 wartości kolorów składowych. Ostatnie bity tych wartości składają się na bajt danych dla malware'u (ESET, Matthieu Faou)
Każdy piksel opisują 3 wartości kolorów składowych. Ostatnie bity tych wartości składają się na bajt danych dla malware'u (ESET, Matthieu Faou)

By utrzymać się w systemie, malware wykorzystuje Windows Management Instrumentation – zestaw protokołów systemu Windows, umożliwiający dostęp do zasobów komputera. Nie bez znaczenia jest też wybór celów politycznych – dwa z nich były wcześniej infekowane przez malware ze szczepów CozyDuke, OnionDuke lub MiniDuke. Na niektórych komputerach były widoczne także ślady infekcji szkodliwymi programami grup Turla i Sednit.

Istotne są także podobieństwa w kodzie szkodliwych programów. Porównanie znanych i nowo odkrytych próbek sugeruje, że szkodliwe programy z różnych kampanii wykorzystują podobne funkcje.

Podobne funkcje w PolyglotDuke i starszym OnionDuke (ESET)
Podobne funkcje w PolyglotDuke i starszym OnionDuke (ESET)

Jak działa operacja Ghost Hunt?

Nowe informacje na temat The Dukes i operacji szpiegowskiej przedstawił Matthieu Faou podczas konferencji prasowej firmy ESET w Bratysławie.

Matthieu Faou (ESET)
Matthieu Faou (ESET)

Mechanizm działania Ghost Hunt został rozpracowany niemal w całości. Zaczyna się prawdopodobnie od e-maila ze szkodliwym dokumentem, podobnie jak Emotet i wiele innych. Druga hipoteza mówi o podszywaniu się pod zaufaną osobę.

Jeśli na pierwszym etapie na komputerze ofiary zadomowi się malware PolyglotDuke, skorzysta z portalu społecznościowego. Link do serwera C&C zdobędzie z Twittera lub Reddita. Adres jest zadokowany w ciągu znaków w rzadko używanym alfabecie, co wyjaśnia nazwę szkodliwego poligloty. Następnie malware pobierze niewinnie wyglądający obrazek z zakodowanymi instrukcjami.

Polecenie dla PolyglotDuke z adresem zakodowanym w alfabecie Cherokee (ESET)
Polecenie dla PolyglotDuke z adresem zakodowanym w alfabecie Cherokee (ESET)

Jeśli na pierwszym etapie występuje RegDuke, obrazek jest pobierany z Dropboxa.

Obraz

W następnym etapie instalowany jest malutki backdoor MiniDuke, który z kolejnego pliku graficznego wydobywa FatDuke – zaawansowany backdoor o bogatych możliwościach. The Dukes bardzo często zmieniają sposób zaciemniania FatDuke, by lepiej unikać ochrony antywirusowej.

– Jesteśmy pewni i możemy potwierdzić, że ta sama grupa stoi za operacją Ghost Hunt i atakami na komitet Demokratów w 2016 roku – podsumował swoją prezentację Matthieu Faou. W tej branży nie można pozwolić sobie na pewność, jeśli nie ma na to niezbitych dowodów. Wniosek z jego prezentacji jest prosty, ale niepokojący. Nawet jeśli o grupie hakerskiej nic się nie mówi, może być aktywna i atakować strategiczne cele. Matthieu Faou przypomniał też o wyborach prezydenckich w USA w 2020 roku – The Dukes mogą znów zaatakować, używając nowych narzędzi.

Chcesz być bezpieczny w sieci? Przed wieloma zagrożeniami ochroni cię BitDefender.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (13)