Η Διοίκηση Κυβερνοχώρου των ΗΠΑ κοινοποίησε χθες πληροφορίες σχετικά με malware που χρησιμοποιούν ρωσικές hacking ομάδες σε επιθέσεις που στοχεύουν υπουργεία εξωτερικών, εθνικά κοινοβούλια και πρεσβείες. Τα δείγματα malware εντοπίστηκαν από τη μονάδα Cyber National Mission Force (CNMF) των ΗΠΑ και την CISA και ανέβηκαν χθες στην πλατφόρμα σάρωσης ιών “Total Virus”. Η CISA δημοσίευσε επίσης δύο συμβουλευτικές σε συνεργασία με το FBI και το CNMF, αναφέροντας επιπλέον πληροφορίες σχετικά με τα malware ComRAT και Zebrocy που χρησιμοποιούν οι ρωσικές ομάδες Turla και APT28 σε αυτές τις επιθέσεις.
Η ρωσική hacking ομάδα “Turla”, που είναι γνωστή και με τις ονομασίες VENOMOUS BEAR και Waterbug, δραστηριοποιείται στο τοπίο των απειλών από το 1996, διενεργώντας επιθέσεις που στοχεύουν την Κεντρική Διοίκηση των ΗΠΑ, το Πεντάγωνο και τη NASA. Επίσης, έχει χρησιμοποιήσει το ComRAT backdoor σε επιθέσεις εναντίον υπουργείων Εξωτερικών & εθνικών Κοινοβουλίων, με στόχο την κατασκοπεία, την κλοπή δεδομένων και την εγκατάσταση malware.
Όσον αφορά τo Zebrocy backdoor, αυτό εντοπίστηκε επίσης κατά την χρήση του σε επιθέσεις που στόχευσαν πρεσβείες και υπουργεία Εξωτερικών στην Ανατολική Ευρώπη και την Κεντρική Ασία. Δύο εκτελέσιμα Windows που αναγνωρίστηκαν ως νέα παραλλαγή του Zebrocy backdoor υποβλήθηκαν για ανάλυση. Αυτά επιτρέπουν σε έναν απομακρυσμένο εισβολέα να εκτελέσει διάφορες λειτουργίες σε ένα παραβιασμένο σύστημα, επεσήμανε η CISA.
Παρόλο που η συμβουλευτική της CISA δεν προσδιορίζει την ταυτότητα και την προέλευση των κακόβουλων παραγόντων που βρίσκονται πίσω από αυτές τις σειρές επιθέσεων, το Zebrocy είναι γνωστό ότι συνδέεται με τη ρωσική hacking ομάδα “APT28”, που είναι γνωστή και ως Sofacy, Fancy Bear, Sednit και STRONTIUM.
Πρόκειται για μέλη της Μονάδας 26165 και της Μονάδας 74455 της Ρωσικής Κεντρικής Διεύθυνσης Πληροφοριών που έχουν διενεργήσει πολυάριθμες εκστρατείες κατασκοπείας με στόχο κυβερνήσεις σε όλο τον κόσμο. Μεταξύ αυτών, η APT28 συμμετείχε σε ένα hack του Γερμανικού Κοινοβουλίου το 2015 και σε επιθέσεις με στόχο τη Δημοκρατική Εθνική Επιτροπή (DNC) και την Επιτροπή των Δημοκρατικών για την Εκστρατεία για το Κογκρέσο (DCCC) το 2016.
Η συμβουλευτική της CISA παρέχει επίσης στους διαχειριστές και τους χρήστες βέλτιστες πρακτικές που έχουν σχεδιαστεί για να τους βοηθήσουν να ενισχύσουν την άμυνα του οργανισμού τους έναντι μελλοντικών επιθέσεων που χρησιμοποιούν αυτά τα backdoors.
Όπως αναφέρει το BleepingComputer, η Διοίκηση Κυβερνοχώρου των ΗΠΑ είχε προηγουμένως εκθέσει νέες παραλλαγές malware που αναπτύχθηκαν από κακόβουλες εκστρατείες πίσω από τις οποίες βρίσκονταν χάκερς της Βόρειας Κορέας. Τα malware χρησιμοποιήθηκαν για phishing και απομακρυσμένη πρόσβαση με στόχο τη διεξαγωγή παράνομων δραστηριοτήτων, την κλοπή χρημάτων και την αποφυγή κυρώσεων.
