F-Secure с разкрития за руска APT група, свързана с Кремъл

0
28


Финската компания, предоставяща услуги и продукти в областта на информационната и интернет сигурност F-Secure сподели данни за собствено разследване на руска APT (advanced persistent threat) група, тясно свързана с руската власт и Кремъл. Дейността на The Dukes, каквото име специалистите са дали на групата, заради използваните от тях инструменти, действа поне от 2008 г. насам, а сред целите ѝ се откриват чеченски сепаратисти, представители на западни правителства и държавници, компании от военния и правителствения сектор, руски граждани, занимаващи се с незаконни дейности и др.

The Dukes, твърдят от F-Secure в доклада си, разчитали на шумни и резки атаки, при които се опитвали да извлекат максимални ползи за отрицателно време. Ако жертвата се окажело, че представлява дългосрочен интерес, те оставали скрити в системите им в продължение на месеци и години. Някои от инструментите на The Dukes са разкривани и по-рано, но досега не са били свързвани с една и съща група.

„В допълнение към тези широкомащабни кампании, The Dukes се заемали за продължителен период от време в по-малки и по-целенасочени кампании, използвайки различен инструментариум. Тези кампании траели поне седем години. Времето и целите на тези атаки изглежда съвпада с известните интереси в областта на външната политика и сигурността на Руската федерация по това време„, четем в увода на доклада. Сред имената на инструментите, използвани от групировката откриваме тези на MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke и GeminiDuke.

Сред първите жертви на APT групата са заподозрени в терористични заговори чеченски граждани, представители на правителствата на Грузия, Турция и Уганда, а впоследствие представители на НАТО и американски държавни институции и мозъчни тръстове, а така също и украински държавници и военни. Последват атаки към полски и чешки политически и военни представители, като по същото време САЩ обсъждат с полското правителство разполагането на противоракетен щит в страната, се споделя в доклада.

Сред арсенала на групата присъстват изключително сложни инструменти за пробив и кражба на данни, както и набор от експлойти за непокрити уязвимости, което свидетелства за сериозните възможности на The Dukes. Повечето от атаките и зловредните програми са били идентифицирани през годините от различни компании за инфозащита, сред които Fireeye, KasperskyLab, CrySys Lab др.

F-Secure заявяват убеждението си, че групата е свързана с Кремъл, поради спецификата на целите им и времето на атаките, като според тях с оглед на горното, то от резултатите на атаките би могла да се възползва единствено държавна институция. Средствата, с които разполагат и ресурсите, предполагат, че тук не става дума за обикновени киберпрестъпници. Дали те са „ведомствени хакери“ или външна група, ползвана от правителството, F-Secure не смеят да заявят.

„Това ни поставя последния въпрос: коя страна? Ние не можем да припишем с категорична убеденост отговорността на някоя страна. Всички достъпни доказателства обаче подсказват, че групата действа в полза на Руската федерация. Нещо повече, засега ние не разполагаме с доказателство, което да опровергава тази теория“, пишат F-Secure в доклада си. Освен това, те се позовават на доклад на „Касперски“ за няколко от инструментите на групата, в които се споделя, че в кода са открити доказателства, че авторите на инструментите са рускоговорящи.

Повече за откритията за APT групата, може да откриете тук.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за