Hekeri z Fancy Bear použili nové triky

Hekeri z Fancy Bear použili nové triky

Obeťami sa tentoraz stali štátne organizácie aktívne v oblasti zahraničnej politiky.

Výskumníci z Palo Alto Networks v novej správe informujú o novom druhu trójskeho koňa, ktorý použila hekerská skupina APT28 známa aj ako Fancy Bear, Pawn Storm, Sednit and Strontium alebo Sofacy group. V októbri a novembri zachytili odborníci dokumenty infikované nebezpečnými makrami. Množstvo informácií získali aj z takzvaných C2 serverov (command-and-control), ktoré zadávajú príkazy a kontrolujú zariadenia infikované škodlivým softvérom alebo rôznym malvérom.

Pri skúmaní dát z C2 serverov odborníci zistili prítomnosť už známeho trójskeho koňa Zebrocy a prítomnosť nového vírusu, ktorý nazvali Cannon. Zebrocy sa šíri najmä phishingom cez dokumenty Microsoft Office alebo jednoduchými spustiteľnými prílohami. Tento druh programu odborníci poznajú približne od leta 2018, keď prebehli útoky pomocou tohto malvéru.

Cannon sa naopak spolieha na nadviazanie C2 komunikačného kanála cez šifrovanú e-mailovú komunikáciu. Ako návnadu sa hekeri snažili použiť súbor s názvom crash list (Lion Air Boeing 737).docx, ktorý sa odvolával na nedávnu leteckú katastrofu.

Cieľmi v oboch ťaženiach boli najmä vládne organizácie aktívne v oblasti zahraničnej politiky. V prípade Cannonu v niektorých prípadoch išlo o spear-phishingové aktivity (phishing so značne personalizovanou komunikáciou) zamerané na konkrétne organizácie a ľudí. Po otvorení priloženého infikovaného dokumentu sa spustilo makro, došlo k prenosu nakazeného súboru dát (payloadu) a škodlivý kód sa spustil až po zatvorení súboru.

Pôvod trójskeho koňa Cannon sa pripisuje hekerskej skupine Fancy Bear. Táto skupina je známa hekerským útokom na americkú Demokratickú stranu pred voľbami roku 2016 a podľa FBI a amerického ministerstva vnútornej bezpečnosti je napojená na ruskú vládu.

V nedávnych aktivitách sa zamerali na rôzne typy špionážnej, spravodajskej a výzvednej činnosti a ich potvrdenými cieľmi boli rôzne vládne organizácie v Európe alebo Južnej Amerike, v členských krajinách NATO alebo v bývalých členských krajinách Sovietskeho zväzu.

V roku 2017 boli odhalené útoky skupiny Fancy Bear na záujemcov o konferenciu o kyberbezpečnosti organizovanú NATO Cooperative Cyber Defence Center of Excellence. Použili pri nich typ malvéru Seduploader (výzvedný malvér schopný robiť screenshoty, spúšťať kódy, sťahovať súbory alebo zbierať a odosielať informácie o systéme) v spojení s Office dokumentmi. Cieľom bolo získať prístup k vyššie postaveným predstaviteľom organizácie.

Skupina je známa tým, že neustále inovuje svoje nástroje a vymýšľa nové spôsoby získavania vplyvu a kontroly nad zariadeniami svojich cieľov.

(RB)