szukaj

22.04.2015 | 09:43

avatar

Adam Haertle

Hakerzy którzy włamali się do Białego Domu atakowali także polskie urzędy

W marcu do systemów Białego Domu dostali się nieznani włamywacze, którzy wcześniej spenetrowali serwery Departamentu Stanu. Dzięki zebranym przez nas informacjom wiemy, że ta sama grupa atakowała także polskie instytucje.

Kaspersky opisał wczoraj kampanię APT nazwaną CozyDuke. Jest to ta sama kampania atakująca instytucje powiązane z UE, o której obszerny artykuł oparty o własne badania opublikowaliśmy ponad miesiąc temu. Według Kasperskiego stojący za nią włamywacze odpowiadają również za ataki na Biały Dom oraz Departament Stanu.

Przytulny Miś

Pierwszy trop w tej sprawie wskazała polska firma Prevenity, która opublikowała analizę próbki złośliwego oprogramowania wykrytej w ataku na jedną z polskich instytucji rządowych. W oparciu o te informacje przeprowadziliśmy szeroko zakrojone poszukiwania innych śladów, które doprowadziły nas do całej listy próbek, wiadomości używanych w ataku oraz części adresów serwerów C&C. Próbki złośliwego oprogramowania które zlokalizowaliśmy były rozpoznawane przez Kasperskiego jako CozyBear, czyli Przytulny Miś. Ponad miesiąc czekaliśmy na kompleksową analizę tej kampanii w wykonaniu profesjonalistów – i się doczekaliśmy.

Metody dystrybucji, czyli małpa w natarciu

Oprócz opisywanego przez nas rozsyłania fałszywych dokumentów PDF udających faksy grupa korzystała także z bardzo skutecznej metody  ataku – śmiesznych zwierzątek. Jedną z metod ataku było rozsyłanie filmu z małpami w biurze, który w momencie jego odtwarzania instalował złośliwe oprogramowanie. Metoda była tym skuteczniejsza, ze zabawny film był rozsyłany wewnątrz instytucji przez kolejne ofiary.

Zawsze skuteczna metoda ataku

Zawsze skuteczna metoda ataku

Jeśli w ciągu ostatniego roku widzieliście film pokazany na obrazku powyżej to wiedzcie, że coś się dzieje.

Połączenie z wcześniejszymi atakami

Złośliwe oprogramowanie składa się z wielu komponentów, od instalatora, przez moduł sterujący po moduły funkcjonalne realizujące standardowe zadania złośliwego oprogramowania – zbieranie informacji, instalowanie nowych modułów, komunikacja z C&C itp. Część tych komponentów jest bardzo podobna do wcześniej zidentyfikowanych plików takich kampanii jak CosmicDuke, OnionDuke czy MiniDuke. Co ciekawe poszczególne komponenty występują w wielu wersjach i bywa, że z ataku na atak ich funkcje są modyfikowane. To dynamiczne środowisko programistyczne przypomina działanie grupy APT28. Choć oprócz Białego Domu, Departamentu Stanu i polskiego urzędu lista ofiar nie została zidentyfikowana, wiemy, że próbki złośliwego kodu często przesyłano do serwerów VirusTotal z komputerów zlokalizowanych w Belgii a wykorzystywane w ataku domeny należały do instytucji związanych z Unią Europejską. Choć Kaspersky nie mówi tego wprost, to zebrane sygnały wskazują, że za kampaniami stoją instytucje reprezentujące interesy Rosji.

Powrót

Komentarze

  • avatar
    2015.04.22 11:40 risk

    No jak małpa, no to tylko Biały Dom. A kto jest teraz najwiekszym przeciwnikiem małpiszona? I wszystko…

    Odpowiedz
  • avatar
    2015.04.23 08:14 dd

    Wiadomo, że kaspersky nie może napisać, że Rosja za tym stoi :-)

    Odpowiedz
  • avatar
    2015.04.27 12:14 Jedrek

    Oczywiście, że wszystko co złe to teraz Rosja (Chiny i Korea Pn. już się znudziły) ;-)

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Hakerzy którzy włamali się do Białego Domu atakowali także polskie urzędy

Komentarze