Οι ερευνητές ασφάλειας της F-Secure εξέθεσαν μια σημαντική νέα APT ομάδα που ισχυρίζονται ότι λειτουργεί για τα τελευταία επτά χρόνια, συγκεντρώνοντας πληροφορίες από την κυβέρνηση και σχετικές οργανώσεις στις ΗΠΑ, την Ευρώπη και την Ασία.Η δραστηριότητα που συνδέεται με το APT29, ή “The Dukes” όπως έχει ονομαστεί η ομάδα από τη Φινλανδική εταιρεία του χώρου, χρονολογείται από το 2008, με τις πρώτες γνωστές επιθέσεις εναντίον της Δύσης να έρχονται ένα χρόνο αργότερα.
Χρησιμοποιεί εννέα διαφορετικές παραλλαγές malware – μερικές από αυτές, όπως το MiniDuke, ήταν ήδη γνωστό στους ερευνητές, αλλά δύο, συμπεριλαμβανομένου του CloudDuke, πρόσφατα αποκαλύφθηκαν σε αυτή την έκθεση.Επιπλέον, περιγράφει λεπτομερώς μια αποφασισμένη ομάδα με πολύ καλούς πόρους και κυρίως έτοιμη να στοχεύσει δυτικές οργανώσεις.
Η F-Secure εξήγησε το λίγο ασυνήθιστο ΜΟ της ομάδας:
«Οι εκστρατείες αυτές χρησιμοποιούν μια προσέγγιση smash-και-grab που αφορούν μια γρήγορη αλλά θορυβώδης “διάρρηξη” ακολουθούμενη από την ταχεία συλλογή και το ξεκαθάρισμα όσο το δυνατόν περισσότερα δεδομένα. Εάν ο στόχος είναι ανακαλυφθεί να είναι αξίας, οι The Dukes θα αλλάξουν γρήγορα το σετ εργαλείων που χρησιμοποιούν και θα κινηθούν προς τη χρήση πιο κρυφών τακτικών που βασίζονται στον επίμονο συμβιβασμό και τη μακροπρόθεσμη συλλογή πληροφοριών.»
Εκτός από αυτές τις επιδρομές, η ομάδα ανέλαβε την ευθύνη προφανώς για μικρότερες, πιο στοχευμένες εκστρατείες. Οι στόχοι και τα χρονοδιαγράμματα των οποίων «φαίνεται να ευθυγραμμίζονται με τα γνωστά ξένα συμφέροντα και την ασφάλεια πολιτικής της Ρωσικής Ομοσπονδίας κατά την περίοδο αυτή.»
Η ομάδα είναι έτοιμη να αντιδράσει στη νέα έρευνα, τροποποιώντας εργαλεία για να παραμείνει κρυμμένη, αλλά σε άλλες περιπτώσεις χρησιμοποιεί εργαλεία τα οποία έχουν ήδη βγει δημοσίως, δήλωσε η F-Secure.
Αυτή η εμπιστοσύνη δείχνει ότι δεν έχει το φόβο των επιπτώσεων – καθώς ενίσχυε περαιτέρω την περίπτωση των «The Dukes» ως κρατικά χορηγούμενη ομάδα.
Ο πιο συχνός τρόπος επιλογής μόλυνσης για τους The Dukes είναι ένα phishing e-mail. Ωστόσο, ορισμένες OnionDuke παραλλαγές διαδόθηκαν μέσω κακόβουλου κόμβο Tor που είχε σχεδιαστεί για να εισάγει trojan σε νόμιμες εφαρμογές on-the-fly, αποκάλυψε η έκθεση.
Παρά τη φαινομενική πολυπλοκότητά του και την κρατική υποστήριξή του, η ομάδα φαίνεται ότι έχει μέχρι τώρα έχει αξιοποιήσει μια μόνο zero day ευπάθεια – CVE-2013-0640 (MiniDuke).
Ενώ οι ερευνητές καταλήγουν στο συμπέρασμα ότι η ομάδα έχει «πρωταρχική αποστολή τη συλλογή πληροφοριών για τη στήριξη της εξωτερικής πολιτικής και της πολιτικής ασφάλειας για τη λήψης αποφάσεων» για τη Ρωσική Ομοσπονδία, δεν είναι σε θέση να διευκρινίσουν αν πρόκειται για μια ομάδα μέσα από μια κυβερνητική υπηρεσία ή έναν οργανισμό με καθαρά εμπορική βάση.
