США рассказали о вредоносном ПО российских хакеров

31 октября 2020 года

Киберкомандование США (англ. United States Cyber Command) USCYBERCOM рассказало о вредоносных программах, используемых российскими хакерскими группами в ходе атак на различные министерства иностранных дел, национальные парламенты и посольства. Образцы вредоносных программ были идентифицированы подразделением Cyber National Mission Force (CNMF), входящим в состав Кибернетического командования США, совместно с Агентством кибербезопасности и безопасности инфраструктуры (CISA) и загружены на платформу Virus Total.

CISA также опубликовала две рекомендации в сотрудничестве с ФБР и CNMF, в которых подробно рассказывается о вредоносных программах ComRAT и Zebrocy. Вредоносы использовались в атаках российскими хакерскими группировками Turla и Fancy Bear.

Fancy Bear (также Fancy Bears, APT28, Sofacy, Pawn storm, Sednit и Strontium) — хакерская группа, действующая с 2004 года. Известна кибернетическими атаками на государственные, информационные, военные и другие структуры зарубежных стран, а также российских оппозиционеров и журналистов. Американские специалисты по кибербезопасности связывают группу с российскими спецслужбами.

В 2018 году в США было выдвинуто официальное обвинение против ряда сотрудников российской военной разведки, в котором указано, что за Fancy Bear стоят военнослужащие в/ч 26165 (85-й главный центр специальной службы) и в/ч 74455.

Российская киберпреступная группировка Turla (также известная как Ouroboros, Snake, Venomous Bear or Waterbug) использовала бэкдор ComRAT в атаках на «министерства иностранных дел и национальные парламенты в целях кибершпионажа, кражи данных и установки вредоносного ПО».

Основные свойства идеального бэкдора:

  • сложно обнаружить;
  • можно использовать многократно;
  • легко отрицать — выглядит, как ошибка, и в случае обнаружения, разработчик может сослаться на то, что допустил эту ошибку случайно и злого умысла не имел;
  • эксплуатируем только при знании секрета — только тот, кто знает, как активируется бэкдор, может им воспользоваться;
  • защищён от компрометации предыдущими использованиями — даже если бэкдор был обнаружен, то невозможно установить, кем он до этого эксплуатировался, и какой информацией завладел злоумышленник;
  • сложно повторить — даже если бэкдор был кем-то найден, то его невозможно будет использовать в другом коде или в другом устройстве.

Использование бэкдора Zebrocy также было замечено во время атак на посольства и министерства иностранных дел в Восточной Европе и Центральной Азии. Zebrocy позволяет удаленному оператору выполнять различные функции на скомпрометированной системе. Хотя в сообщении CISA не упоминается источник угрозы, стоящий за этой серией атак, Zebrocy связан с другой группировкой — APT 28 (также известной как Sofacy, Fancy Bear, Sednit, STRONTIUM).

В июле этого года три западные спецслужбы обвинили «кремлевских хакеров» в попытке украсть вакцину от коронавирусной инфекции COVID-19 .

PowerShell-скрипт декодирует и загружает 64-разрядную DLL-библиотеку, идентифицированную как ComRAT. Новый вариант ComRAT содержит встроенные 32-разрядные и 64-разрядные используемые DLL-библиотеки в качестве коммуникационных модулей. Коммуникационный модуль внедряется в браузер системы жертвы по умолчанию. Файл ComRATv4 и модуль связи взаимодействуют друг с другом с помощью именованного канала. Именованный канал используется для отправки HTTP-запросов и получения HTTP-ответов к модулю связи и от него для команд бэкдора. Он предназначен для использования web-интерфейса Gmail для получения команд и хищения данных. Файл ComRAT v4 содержит виртуальную файловую систему (VFS) в формате FAT16, которая включает файлы конфигурации и журналов.


 

ИсточникиПравить


 

Комментарии:США рассказали о вредоносном ПО российских хакеров