Το Υπουργείο Δικαιοσύνης (DoJ) των ΗΠΑ και το FBI κατάσχεσαν δύο domains που χρησιμοποιήθηκαν από τη ρωσική hacking ομάδα “APT29” σε phishing επιθέσεις με στόχο κυβερνητικές υπηρεσίες, ομάδες προβληματισμού, συμβούλους και ΜΚΟ. Οι χάκερς που βρίσκονται πίσω από τις εν λόγω επιθέσεις πλαστογράφησαν τον Οργανισμό Διεθνούς Ανάπτυξης των ΗΠΑ (USAID) αποσκοπώντας στη διανομή malware και την απόκτηση πρόσβασης σε εσωτερικά δίκτυα.
Η ομάδα SVR που συνδέεται με τη Ρωσία (γνωστή και ως APT29, Cozy Bear και The Dukes), μαζί με την hacking ομάδα “APT28”, συμμετείχε στο hack της Εθνικής Επιτροπής του Δημοκρατικού Κόμματος και το κύμα επιθέσεων με στόχο τις προεδρικές εκλογές του 2016 στις ΗΠΑ.
Τα δύο domains που κατασχέθηκαν από τις αρχές των ΗΠΑ, είναι το theyardservice[.]com και το worldhomeoutlet[.]com.
Διαβάστε επίσης: ΗΠΑ: Κατηγορούν επίσημα τη SVR για το SolarWinds hack – Κυρώσεις και απέλαση Ρώσων διπλωματών
Ειδικότερα, το DoJ ανέφερε στη σχετική του ανακοίνωση τα ακόλουθα: «Στις 28 Μαΐου, σύμφωνα με δικαστικές εντολές που εκδόθηκαν στην Ανατολική Περιφέρεια της Βιρτζίνια, οι Ηνωμένες Πολιτείες κατάσχεσαν δύο domains command-and-control (C2) και διανομής malware που χρησιμοποιήθηκαν σε πρόσφατη εκστρατεία spear-phishing που πλαστογράφησε τις επικοινωνίες μέσω email του Οργανισμού Διεθνούς Ανάπτυξης των ΗΠΑ (USAID). Αυτή η κακόβουλη δραστηριότητα αποτέλεσε αντικείμενο ειδοποίησης ασφαλείας της Microsoft στις 27 Μαΐου, με τίτλο “New sophisticated email-based attack from Nobelium”και μιας κοινής συμβουλευτικής του FBI και της CISA στις 28 Μαΐου.»
«Αυτές οι ενέργειες αποδεικνύουν την ικανότητά μας να ανταποκρινόμαστε γρήγορα σε κακόβουλες δραστηριότητες στον κυβερνοχώρο, ωθώντας τις μοναδικές μας αρχές να διαταράσσουν τους αντιπάλους μας στον κυβερνοχώρο», είπε ο Steven M. D’Antuono, Βοηθός Διευθυντής του FBI Washington Field Office.
Τα domains χρησιμοποιήθηκαν ως μέρος της command-and-control υποδομής που χρησιμοποίησαν οι χάκερς.
Δείτε ακόμη: Χάκερς προσελκύουν χρήστες Android με fake antivirus και τους μολύνουν με malware
Η APT29, που λέγεται επίσης ότι βρίσκεται πίσω από το hack της SolarWinds, φέρεται να παραβίασε έναν λογαριασμό στην πλατφόρμα email marketing Constant Contact που ανήκε στον αμερικανικό οργανισμό USAID.
Οι κρατικοί χάκερς χρησιμοποίησαν τον λογαριασμό για να στείλουν 3.000 phishing emails σε περισσότερες από 150 οργανισμούς σε 24 χώρες.
Μόλις ένας παραλήπτης έκανε κλικ σε ένα link που περιλαμβανόταν στα μηνύματα, κατευθυνόταν να κατεβάσει malware από ένα subdomain του theyardservice[.]com. Αφού κέρδιζαν το αρχικό βήμα, οι επιτιθέμενοι κατέβαζαν στη συνέχεια το εργαλείο Cobalt Strike για να επιτύχουν στο σύστημα-στόχο και να αναπτύξουν πρόσθετα εργαλεία ή κακόβουλα payloads.
Πρόταση: FBI: Συνδέει το Conti ransomware με 16 επιθέσεις σε σημαντικούς οργανισμούς των ΗΠΑ
Τέλος, ο Bryan Vorndran, Βοηθός Διευθυντής του τμήματος κυβερνοχώρου του FBI, δήλωσε τα ακόλουθα: «Το FBI παραμένει δεσμευμένο να διαταράξει αυτό το είδος κακόβουλης δραστηριότητας στον κυβερνοχώρο που στοχεύει τις ομοσπονδιακές υπηρεσίες μας και τους Αμερικανούς πολίτες.»
«Θα συνεχίσουμε να χρησιμοποιούμε όλα τα εργαλεία που διαθέτουμε και να αξιοποιούμε τις εγχώριες και διεθνείς συνεργασίες μας, όχι μόνο για να διαταράσσουμε αυτού του είδους τη δραστηριότητα hacking, αλλά και για να επιβάλουμε κινδύνους και συνέπειες στους αντιπάλους μας για την καταπολέμηση αυτών των απειλών.»
Πηγή πληροφοριών: securityaffairs.co
