211service.com
Les hackers russes qui ont frappé les élections de 2016 ont été très occupés depuis
Le Kremlin Photo : Le Kremlin par Mariano Mantel CC BY NC 2.0
Depuis qu'ils faisaient partie des groupes impliqués dans le tristement célèbre piratage du Comité national démocrate en 2016, la piste s'est en grande partie refroidie pour les pirates du renseignement russe connus sous le nom de Cozy Bear.
De nouvelles recherches, cependant, montrent que Cozy Bear (également connu sous le nom de Dukes) n'est jamais parti du tout. Bien qu'ils aient réussi à rester à l'écart des projecteurs pendant plus de deux ans, le groupe s'est activement engagé dans une campagne d'espionnage de six ans visant les ministères des affaires étrangères d'au moins trois pays européens et une ambassade à Washington, DC, d'un pays de l'Union européenne, selon nouveau travail par la société slovaque de cybersécurité ESET.
Deux autres groupes de piratage avancés de Russie, portant les noms de code Fancy Bear et Turla, ont été trouvés sur certains des mêmes ordinateurs piratés. Les groupes de piratage russes de différentes branches du gouvernement - dans ce cas, l'armée et les agences de renseignement - sont connus pour se concurrencer agressivement lorsqu'ils s'attaquent à des cibles de grande valeur.
La campagne persistante et méticuleuse de Cozy Bear contre une série de cibles politiques européennes utilise de nouveaux logiciels malveillants et de nouvelles tactiques dans ce que les chercheurs appellent Operation Ghost, une campagne qui remonte à 2013 et s'étend au moins jusqu'en juin 2019.
Entrez par la porte arrière : Les pirates commencent généralement leur attaque par des e-mails de harponnage, des messages soigneusement conçus pour inciter des cibles très spécifiques à cliquer sur des liens malveillants, en lançant un processus de téléchargement de logiciels dangereux qui donnent à Cozy Bear le contrôle des machines et des comptes clés. Les détails de la façon dont les pirates atteignent cet objectif montrent qu'ils sont parmi les meilleurs au monde dans ce qu'ils font.
La campagne, menée en grande partie pendant les heures de travail dans le fuseau horaire de Moscou, a impliqué plusieurs nouvelles familles de logiciels malveillants découvertes lors de cette opération.
Une nouvelle famille de logiciels malveillants connue sous le nom de FatDuke est spécialement conçue par ce groupe pour fournir un accès caché et silencieux à la machine de la victime en se faisant passer pour le navigateur de la cible jusqu'à des détails spécifiques, comme l'utilisation du même agent utilisateur que le navigateur installé sur le système.
Voici comment les chercheurs émettent l'hypothèse qu'un type d'attaque de l'opération Ghost pourrait se dérouler : une cible, disons un diplomate européen, recevrait un e-mail spécialement conçu pour lui faire télécharger un document malveillant. Ce document contiendrait le malware PolyglotDuke dont le but est d'installer subrepticement d'autres malwares sur la machine. Pour ce faire, le logiciel malveillant examine des messages prédéterminés sur des sites populaires tels que Reddit, qui ressemblent à du trafic Internet normal. Une image est téléchargée qui utilise une tactique appelée stéganographie, qui modifie subtilement un fichier image pour masquer les données codées, y compris les charges utiles supplémentaires. Soudain, des photos d'apparence normale contiennent du code malveillant et presque invisible.
Ils installeront la porte dérobée MiniDuke puis, en tant que troisième étape du livre de jeu pour les cibles les plus intéressantes et les plus importantes, ils passeront à FatDuke. Un déploiement réussi de FatDuke, appelé la porte dérobée phare actuelle utilisée par les Dukes, signifie que la bataille est terminée.
Faible: Ce qui est également exceptionnel à propos de ce groupe et de cette campagne, c'est la façon dont l'infrastructure réseau de l'opération a été reconstruite pour chaque victime.
Ce type de compartimentation n'est généralement vu que par les attaquants les plus méticuleux, ont déclaré les chercheurs d'ESET Matthieu Faou, Mathieu Tartare et Thomas Dupuy dans le nouveau rapport . 'Il empêche l'ensemble de l'opération d'être brûlé lorsqu'une seule victime découvre l'infection et partage le réseau associé [indicateurs de compromission] avec la communauté de la sécurité.
Cosy Bear est actif depuis plus d'une décennie.
Nos nouvelles recherches montrent que même si un groupe d'espionnage disparaît des rapports publics pendant de nombreuses années, il n'a peut-être pas cessé d'espionner, ont écrit les chercheurs. Cozy Bear a pu voler sous le radar pendant de nombreuses années tout en compromettant des cibles de grande valeur, comme auparavant.