APT28

Руската хакерска група APT28 е сред основните заподозрени за оповестената в края на септември 2020 г. успешна атака срещу американска федерална агенция.

Групата, известната още като Fancy Bear, се счита за отговорна за множество обвинения за хакове, насочени срещу президентските избори в САЩ през 2016 г. По-рано през октомври Microsoft предупреди за подобна широка кампания от опити за проникване, насочени към политически партии, консултантски компании и щабове на кампании за президентските избори в САЩ, насрочени за ноември.

Разследващите не назовават конкретен извършител, но са идентифицирали IP адреси на атакуващите, използвани от APT28 в предишни проучвания и атаки към американски правителствени организации.

 

Поне два от сървърите, с които комуникира руткитът LoJax, все още са онлайн. Това показват резултатите от проучване на Netscout. Те подсказват, че малуерът все още е активен и би могъл да се използва при бъдещи атаки.

LoJax получи значително отразяване в медиите през септември 2018 г. Тогава компанията за информационна сигурност ESET публикува доказателства, че руткитът е използван в организирана атака срещу държавни институции в Източна Европа.

От Netscout отбелязват, че месеци по-късно два от командните сървъри, с които LoJax комуникира, все още са онлайн. Те са били използвани и по време на атаката, за която съобщи ESET през септември.

„Въпреки цялото медийно внимание към LoJax, неговите собственици Fancy Bear все още не са свалили командните му сървъри. Тези сървъри имат дълъг живот и организациите трябва да предприемат защитни мерки срещу тях“, коментират от Netscout.

Fancy Bear, позната още като Sednit или APT28, се счита за свързана с руското правителство хакерска група и автор на руткита.

LoJax е първият известен случай на руткит, използван в организирана хакерска атака. Той атакува UEFI (наследник на BIOS) на съвременните компютри. Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност.

LoJax се отличава с това, че оцелява след превантивни мерки като преинсталация на операционната система или смяна на твърдия диск. Името на руткита идва от LoJack – софтуер против кражба на лаптопи, заради който производителите на компютри инсталират в продуктите си определени файлове, които комуникират с UEFI. Именно от тези преконфигурирани файлове се възползва LoJax, за да функционира.

Последен ъпдейт на 3 декември 2018 в 09:05 ч.

Хакерската група Sednit използва събитията около Brexit, за да разпространява малуер. Сред основните цели на групата са държавни институции в Централна Азия и Централна и Източна Европа.

В момента членовете на Sednit водят активна спам кампания, показва анализ на компанията за информационна сигурност Accenture Security. Имейлите съдържат зловреден документ Brexit 15.11.2018.docx, чието име заблуждава, че има връзка с преговорите между Великобритания и Европейския съюз. „Темата за Brexit подсказва кои са целите на групата, която се фокусира основно върху страни-членки на NATO, страни в Централна Азия и съседни на Русия страни“, коментират от Accenture Security.

В прикачения документ има макро скрипт, който сваля на компютъра истинския малуер – в случая Zekapab, известен още и като Zebrocy. Зловредният код събира информация от заразеното устройство като средство за шпионаж. Според компанията за киберсигурност ESET малуерът се използва активно поне от няколко години и постоянно еволюира.

За Sednit се предполага, че е свързана с руското разузнаване. Групата се счита за автор на някои значими атаки, включително и такива срещу държавни институции. Според ESET първата хакерска атака с UEFI руткит е дело именно на Sednit.

За атаката, станала известна като LoJax, беше съобщено в края на септември. Tя се отличава с това, че атакува UEFI на устройството и може да устои на смяна на операционната система и дори смяна на твърдия диск на заразения компютър. Според ESET основна цел на атаката с UEFI руткит са държавни институции от Централна и Източна Европа.

Актуалната спам кампания не се различава съществено от други подобни, извършвани от групата. Тя обаче показва, че членовете на Sednit продължават да са активни. „Предвид предполагаемата връзка с Русия, очевидно групата разполага с достатъчно ресурси, за да атакува организации. Ето защо са необходими инвестиции в защитни мерки“, коментират от Accenture Security.

Последен ъпдейт на 15 октомври 2018 в 03:34 ч.

Атаките над UEFI са редки, но за сметка на това имат много сериозни последствия. Това заяви Роман Ковач, директор „Анализи“ в словашката компания за киберсигурност ESET. Миналата седмица фирмата съобщи, че е открила LoJax – първата кибератака от организирана престъпна група, разполагаща със собствен UEFI руткит.

Атаката е изключително опасна, защото не се поддава на стандартни превантивни мерки. Освен това повечето антивирусни програми не сканират UEFI(спецификация за софтуерен интерфейс между операционната система и хардуера), което означава, че руткитът може да инфектира системата напълно незабелязано.

Нищо ново под слънцето

Атаките върху UEFI не са нещо ново. Има инструменти за осъществяването им, с които държавните разследващи институции се снабдяват напълно легално. В интервю за Welivesecurity.com Ковач посочва за пример Hacking Team – италианска компания, която продава шпионски софтуер на правителства от различни страни по света.

Дейността на Hacking Team стана известна на широката общественост през юли 2015 г. Тогава имейл комуникация на компанията с нейни клиенти изтече в интернет. „Hacking Team рекламираха активно като услуга опцията да достъпват и модифицират фърмуеъра на набелязаната цел. В данните, които изтекоха в WikiLeaks, имаше информация за UEFI руткит. Това доказва, че твърденията на Hacking Team са били истина“, посочва Ковач.

В ръцете на руски хакери

Откритият от ESET руткит обаче е първият, за който е известно, че се използва от организарана престъпна група, а не от държавен орган. Предполага се, че той е собственост на Sednit – руска хакерска група, която многократно е попадала в медиите заради извършени от нея атаки.

„Ако злонамерено лице може да контролира процесите, които се стартират на устройството, той го контролира изцяло. Освен че са изключително опасен вектор на атака, промените във фърмуеъра са трудни за засичане и могат да оцелеят дори след радикални мерки за сигурност като преинсталиране на операционната система или смяна на твърдия диск“, коментира Ковач.

Какви са рисковете

„Нека ви напомня една от основните принципи в управлението на риска: той е функция от цената, която плащаш като резултат от едно събитие, и неговата вероятност. Дори и ако тези атаки са редки, те носят със себе си сравнително висок риск, ако последиците от тях са значими. Случаят с UEFI руткитът е точно такъв“, казва Ковач.

Трябва ли обикновените потребители да се притесняват? Според Ковач – не, защото индивидуалните потребители не са основната цел на такъв тип атаки. Обикновено те са насочени към държавни институции и бизнеси. Това са организациите, които понасят най-голяма тежест от подобни атаки. За индивидуалните потребители рискът (засега) клони към нула.

Първият UEFI руткит, използван в кибер атака, е засечен от анализаторите на компанията за киберсигунрост ESET.

Зловредният код е използван от руската хакерска група Sednit за придобиване на контрол върху компютри от държавни институции в Централна и Източна Европа. Няма информация дали България е сред засегнатите от атаката държави.

Вижте пълната публикация в блога на ESET >>

Какво е UEFI?

UEFI е спецификация за софтуерен интерфейс между операционната система и хардуера. UEFI заменя вече остарялата технология BIOS.

Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност. Според ESET това е първият случай, в който организирана хакерска група злоупотребява с такъв руткит.

Защо LoJax e опасен?

LoJax е особено опасен, тъй като може да прескача някои традиционни защитни мерки като преинсталиране на операционната система или смяна на твърдия диск. Друг проблем е, че се открива трудно, защото повечето антивирусни програми не сканират UEFI.

“Вече няма причина да не сканирате фърмуеъра на компютъра си. Да, атаките срещу UEFI са изключително редки, и до този момент бяха възможни при физически достъп до компютъра. Но ако една таква атака се осъществи, тя ще доведе до пълен контрол над устройството”, коментира Жан-Ян Бутин, анализатор в ESET.

Кой е автор на атаката

Според ESET най-вероятният извършител е хакерската група Sednit, за която се предполага, че имa връзки с руското разузнаване. Известна още като APT28, STRONTIUM, Sofacy или Fancy Bear, тя често е посочвана като извършител на известни в медиите атаки като хакването на френската телевизиознна група TV5Monde или публикуването в интернет на имейли от Световната антидопингова агенция.

Според информация на “Капитал” Sednit е сочена като вероятен извършител на DDoS атаката срещу сайта на Централна избирателна комисия през ноември 2015 г.

Експерти от Microsoft докладваха, че са открили редица фалшиви уебсайтове, които целят да копират правителствен организации, както и две политически такива. От компанията докладват, че страниците са дело на групата APT28 или Fancy Bear, за която се предполага, че има силни връзки с руското правителство.

Откритите домейни са:

my.iri.org
hudson-my-sharepoint.com
senate.group
adfs-senate.services
adfs-senate.email
office365-onedrive.com

Microsoft пояснява, че до момента не се знае за успешни опити за атака чрез тези страници. Няма и информация за организирани кампании, в които те се използват.

Сайтовете бяха премахнати от отделът за борба с престъпленията към Microsoft, чрез съдебно решение. Правомощието за това беше отредено на технологичния гигант, тъй като сайтовете използват интелектуална собственост като „sharepoint“, „office365“ и „onedrive“. В последните две години, компанията е използвала съдебна помощ за премахването на общо 84 фалшиви страници, които също са били дело на APT28.

Преди едва месец, вице-президентът на Microsoft – Том Бърт – разказа и за свалянето на домейн, който е бил използван за фишинг атаки към поне 3-ма кандидати за конгреса на САЩ.