Малколм Нэнс - Заговор с целью взлома Америки

Сотрудник Организации по безопасности и сотрудничеству в Европе в Вене стал жертвой попытки фишинга. В электронном письме, отправленном сотрудникам, была ссылка на «Vice-news.com», хотя Vice News можно найти на «news.vice.com». Чтобы заманить сотрудника SAIC, хакеры использовали ссылку на «Future Forces 2014», которая указывала на «natoexhibitionff14.com», в то время как настоящий веб-сайт выставки - «natoexhibition.org» 11. Цель состояла в том, чтобы соблазнить персонал отказаться от своих учетные данные для входа в веб-почту, чтобы хакеры могли пройти через входную дверь. Например, настоящий домен OWA ОБСЕ - это «login-in.osce.org», расширение «osce.org». Фишинговая учетная запись, приобретенная для кражи учетных данных, называлась «login-in-osce.org». В случае SAIC доменом OWA был «webmail.saic.com», связанный с «saic.com». Приобретенный фишинговый аккаунт был «webmail-saic.com» 12.

Fancy Bear также нацелился на Academi, печально известную компанию, ранее известную как Blackwater. Отправленная им ссылка должна была выглядеть так, как будто она пришла с tolonews.com, хотя на самом деле она пришла с tolonevvs.com, который был заражен и был частью фишинговой кампании. Как и в случае с вышеприведенным шаблоном, реальный почтовый сервер имел очень близкую орфографическую ошибку, которая могла не заметить случайного взгляда: «academl» вместо «academi.com».

В случае с немецкой компанией злоумышленники даже купили SSL-сертификат, чтобы замаскировать свое ограбление. Сертификаты SSL продаются, чтобы позволить поставщику установить безопасное соединение с браузером покупателя. Trend Micro заявляет, что они смогли предупредить цель и избежать атаки только благодаря раннему обнаружению.13 Trend Micro задействовала злоумышленников, отправив поддельные учетные данные через эти страницы входа в веб-почту. Злоумышленники отреагировали «в течение нескольких минут» на преднамеренную «утечку» этих фальшивых учетных записей и начали попытки несанкционированного доступа. После первоначальной проверки входа с самого сайта они заметили дополнительные попытки входа в систему из Латвии (46.166.162.90) и США (192.154.110.244) 14.

Когда хакеры оказываются внутри, они развертывают ряд инструментов, чтобы взять под контроль зараженный компьютер и начать попытки получить данные для загрузки - кредитные карты, фотографии или биткойны - они все это крадут.

Согласно оценке Trend Micro от августа 2015 года, APT28, также известная как «Pawn Storm», сосредоточила 25 процентов своих усилий по нацеливанию на Украину, за ней следуют Соединенные Штаты с 19 процентами. Когда дело доходило до атак по секторам, акцент смещался в зависимости от страны. В России 23 процента атак были нацелены на СМИ, за ними следовали 17 процентов атак на дипломатию, а затем - на активизм - 15 процентов. Напротив, украинские секторы были поражены 18% военными, 18% СМИ, 16% правительственными. Для Соединенных Штатов секторы были еще яснее: военные - 35 процентов, оборона - 22 процента, а правительство - 8 процентов. Атаки на американские СМИ составили 7 процентов15.

APT29 COZY BEAR — Российская военная разведка (ГРУ)

Как и его соратники, российские кибер-группы, APT29 имеет собственный набор инструментов и методы атаки. Группа CrowdStrike действует с 2008 года и получила название COZY BEAR. Он также известен как Cosy Duke от Mandiant. До удара по DNC целями APT29 были Государственный департамент США, Объединенный комитет начальников штабов США и Белый дом. Группа разработала набор инструментов, обычно называемый «Герцоги». Один набор инструментов, называемый Hammertoss или Hammerduke, даже использует стеганографию (зашифрованные данные или сообщения на фотографии) через изображения, размещенные в Twitter. Обычно они получают доступ к компьютерам с помощью Spear-phishing.

В сентябре 2015 года в исследовании атак APT29 финская компания по кибербезопасности F-Secure обнаружила несколько образцов активности APT29 в Чечне в период с 2008 по 2015 год.16 Хотя F-Secure называет их «герцогами», другие фирмы также называли и отслеживали эти наборы инструментов. Например, один набор инструментов был назван «SeaDaddy», как было обнаружено при взломе DNC. Точно так же «HammerDuke» - это тот же набор инструментов, что и «HammerToss», отслеживаемый FireEye. Их целями были Чечня, Украина и США. Большинство их операций происходит в часовых поясах UTC + 3, UTC + 4, поэтому они тоже указали российское происхождение.

Согласно анализу PinchDuke, проведенному F-Secure, первые образцы были обнаружены в ноябре 2008 года на турецких сайтах, на которых размещены чеченские материалы. Один из сайтов был назван «Чечанский [sic] информационный центр»; на другом сайте был раздел о Чечне.17

Venomous Bear18 был идентифицирован Crowdstrike (по прозвищу Uroburous (Змея), Epic Turla, SnakeNet, Waterbug и Red October) впервые в 2008 году19.

Эта группа наиболее известна своей печально известной кибератакой на Центральное командование США в 2008 году. Эта атака была названа «Худшим взломом военных компьютеров США в истории». Хотя Пентагон заявляет, что данные не были потеряны из-за прерывания передачи данных, он изменил то, как военные будут использовать флэш-накопители, а также свою оборонительную позицию.

Атака, вероятно, была вызвана зараженной флешкой, вставленной в военный ноутбук США. Чтобы задействовать остальную часть своего программирования, вредоносная программа должна была связаться с сервером C2. При попытке это сделать группа Advanced Network Operations (ANO) NSA обнаружила вредоносное ПО. В результате Министерство обороны ввело всемирный запрет на флэш-накопители. Еще одним результатом взлома Agent.btz стало создание Киберкомандования США. Министерство обороны также отреагировало запуском операции «Бакшот Янки» 20, направленной на то, чтобы очистить все зараженные машины и защитить «цифровой плацдарм», как назвал это заместитель министра обороны Уильям Линн III. Взлом был настолько серьезным, что знаменитая команда Tailored Access Operations (TAO) АНБ, элитная группа кибератак, работала над противодействием угрозе21.

Как и другие APT, эта группа использует целевой фишинг, чтобы обманом заставить цель открыть вложение PDF с вредоносным ПО или щелкнуть ссылку на сайт водопоя. Подобно атакам APT28 и APT29, атаки Venomous Bear использовали вложения к электронным письмам, которые были тщательно нацелены и сформулированы таким образом, чтобы цель открыла либо прикрепленный PDF-файл, который затем активировал Trojan.Winpbot и Trojan.Turla, согласно отчету Symantec. изучение атаки группы22. «Trojan.Turla» используется для кражи данных.

Согласно отчету о глобальных угрозах CrowdStrike, Venomous Bear нацелен на правительственные учреждения, НПО, энергетические компании, технологические фирмы и образовательные организации23.

Атаки КИБЕР-МЕДВЕДЕЙ

Эстония: высвобождение кибер-медведей

Россия рассматривает страны Балтии, страны, граничащие с ней на западной границе, как государства, которые должны находиться в сфере своего политического и экономического влияния, а не ориентироваться на Западную Европу. Народы Литвы, Эстонии и Латвии чувствовали себя брошенными позади и страдали более пяти десятилетий под советским господством. Когда у них появился шанс, они быстро присоединились к Америке и остальной Европе и присоединились к НАТО. Боль от этого была особенно острой в Эстонии.