ATAQUES INFORMATICOS DE COZY BEAR APT29 O THE DUKES

Seis horas después de que Donald Trump se convirtió en el presunto presidente electo de los Estados Unidos, un grupo hacker ruso quizás conocido por irrumpir en las redes de ordenadores en el Comité Nacional Demócrata lanzó una andanada de campañas de phishing dirigidos contra grupos de reflexión políticos estadounidenses y no -Gobierno organizaciones (ONG)

Esto es según un nuevo informe de la firma de respuesta a incidentes cibernéticos con sede en Washington, Volexity . Los investigadores de la firma dicen que han estado monitoreando de cerca las actividades de una banda rusa desarrollo de malware bien establecida conocida indistintamente como Cozy Bear, APT29, y The Dukes.

Los ataques de piratas informáticos lanzados por los duques fueron pensados para ser conectado a las intrusiones en el Comité Nacional Demócrata (DNC), así como allanamientos cibernéticos de múltiples organizaciones del Gobierno de Estados Unidos de alto perfil.

El mes pasado, el gobierno de Obama reconoció públicamente por primera vez que cree que el gobierno ruso fue responsable por el robo y la divulgación de correos electrónicos de la DNC y una serie de otras instituciones e individuos prominentes, más recientemente presidente de la campaña de Hillary Clinton, John D. Podesta . Los correos electrónicos fueron publicados en WikiLeaks y otros sitios.

CEO Volexity Steven Adair dijo que los duques han lanzado al menos cinco salidas de los ataques de malware phishing basados en correo electrónico desde el discurso de aceptación de Trump, y que las campañas de malware están en curso.

"Dos de los ataques pretendiendo ser los mensajes reenviados desde la Fundación Clinton, dando una idea y tal vez un análisis post-mortem en las elecciones", escribió Adair. "Dos de los otros ataques pretendiendo ser enlaces de eFax o documentos relacionados con el resultado de la elección en proceso de revisión o son fraudulentas. El último ataque afirmó ser un enlace a una descarga de PDF en " ¿Por qué América Elecciones son erróneas. "

De acuerdo con Volexity, en julio de 2015 los duques comenzó en gran medida la orientación grupos de reflexión y ONG.

"Esto representa un cambio bastante significativo en las operaciones anteriores del grupo y que continuó en el período previo a e inmediatamente después de las elecciones presidenciales de Estados Unidos de 2016," escribió Adair.

Antes de las elecciones, los duques estaban activos el 10 de agosto de 2016 y el 25 de agosto de 2016, el lanzamiento de varias oleadas de ataques de phishing de lanza muy dirigido contra varios grupos de reflexión con sede en los Estados Unidos y las ONG.

"Estos mensajes de phishing de lanza fueron falseadas y se hacen aparecer haber sido enviado desde individuos reales en los grupos de reflexión conocidos en los Estados Unidos y Europa", escribió Adair. "Estas ondas de agosto de ataques resultaron proceder de individuos en Transparencia Internacional, el Centro para una Nueva Seguridad Estadounidense (CNAS), el Instituto Internacional de Estudios Estratégicos (IISS), Eurasia Group, y el Consejo de Relaciones Exteriores (CFR)."

Adair dijo que los ataques más típicos de los duques vienen en forma de correos electrónicos masivos dirigidos ligeramente menos a menudo sólo unas pocas docenas de destinatarios a la vez que incluyen trampas explosivas Microsoft Office documentos.

Cuando se inicia, el manchado Excel o Palabra documento se abre un archivo real con contenido real, pero también solicita el objetivo de permitir "macros" - una potente funcionalidad incorporada en los documentos de Office que los hackers pueden utilizar para descargar y ejecutar automáticamente el código malicioso en un Windows sistema.

Los duques prefieren lanzar los ataques que utilizan servidores hackeados y buzones de correo electrónico pertenecientes a trabajadores inocentes, de confianza en las ONG y los sistemas de gobierno de Estados Unidos, explicó Adair. Muy a menudo, dijo, los intrusos se readaptar un documento legítimo que se encuentra en una de estas bandejas de entrada hackeados e inyectar un sofisticado puerta trasera "programa de caballo de Troya".

Si el objetivo de phishing se abrir el documento y tiene habilitadas las macros de Microsoft Office o permite las macros que se ejecutan después de que se muestra el documento señuelo un script malicioso incrustado en la macro instala en el sistema del objetivo de un poderoso punto de apoyo para el atacante.

Adair dijo que los duques tienen una reputación bien ganada por la codificación y la mejora constante de sus propios troyanos de puerta trasera de encargo, pero que no son conocidos por el uso de las denominadas amenazas "día cero" debilidades de seguridad previamente desconocidos en software y hardware que los atacantes con conocimientos se puede utilizar para poner en peligro de forma remota el ordenador de un solo objetivo mediante la carga de una página web o abrir un documento.

Los duques también tener mucho cuidado de no hacer phishing al personal de seguridad en organizaciones específicas. Por ejemplo, si el objetivo de phishing tiene macros habilitadas en Microsoft Office o permite que se ejecutan después de que se muestra el documento señuelo, un script malicioso incrustado en la macro ejecuta un pequeño programa ocupado que recorre equipo de destino de las señales de que se está ejecutando en la máquina de un administrador de red.

Si el script malicioso detecta que el usuario es "admin" o "administrador", la infección no va más allá y el malware se apaga. Del mismo modo, se comprueba muchas otras señales para que se ejecute en un entorno "caja de arena" - un laboratorio de pruebas a menudo utilizado por los investigadores de seguridad y malware.

Adair dijo que su aunque su equipo de investigación no tiene una visión específica en que el éxito pueden haber sido estos últimos ataques de espionaje, Los Duques son una detallada y eficaz de los recursos de la máquina de reunión.

Como The New York Times informó el mes pasado, "el presidente Obama está pesando una respuesta" proporcional "a los esfuerzos de Rusia para interferir con la campaña electoral de este otoño a través de la piratería.

No está claro quién lanzó los ataques informáticos bancarios, que son según se informa en curso. Kaspersky dijo que el ataque contra el sistema bancario de Rusia al parecer está siendo lanzada por una red de más de 24.000 a Internet hackeado de las Cosas dispositivos (IOT), y que más de la mitad de las cosas pirateadas estaban en los Estados Unidos, India, Taiwán e Israel.


Fecha actualización el 2016-11-11. Fecha publicación el . Categoría: Hackers. Autor: Mapa del sitio
Cozy Bear, APT29, The Dukes