В случае с печально известным взломом серверов Национального комитета Демократической партии (DNC) в 2016 году группа российских хакеров, известная под названием «Фэнси Беар» (Fancy Bear), оказалась в центре внимания, когда слила электронную переписку и документы, которые похитила во время бесцеремонной кампании, проводившейся с целью повлиять на результаты президентских выборов в США. Но в сети DNC вторгалась и другая, гораздо более неприметная группа кремлевских хакеров. В последующие три года эта вторая группа «залегла на дно» и почти не показывалась — пока аналитики компании, работающей в сфере информационной безопасности (ИБ), не заметили ее в разгар другой шпионской кампании, которая незаметно продолжалась на протяжении шести лет.
Сегодня специалисты словацкой ИБ-компании ESET опубликовали обнаруженные сведения, которые свидетельствуют о многолетней шпионской кампании, проводившейся группой спонсируемых Кремлем хакеров, которую ESET называет Dukes. Эта хакерская группа также известна под названиями Cozy Bear и APT29, и ее связывают с российской Службой внешней разведки (СВР). ИБ-специалисты компании ESET обнаружили, что хакеры из группы Dukes проникли в сети, по меньшей мере, трех объектов: министерств иностранных дел двух восточноевропейских стран и одного государства Евросоюза, включая сеть посольства этой страны ЕС в Вашингтоне. В компании ESET отказались дать более подробную информацию об этих объектах кибератак и отметили, что число жертв нападений этих хакеров может быть больше, чем они выявили.
ИБ-специалисты обнаружили, что шпионские операции продолжались и в течение нескольких лет до взлома серверов DNC, и в последующие годы (вплоть до июня этого года). При этом хакеры использовали совершенно новый набор вредоносных программ, в некоторых из которых применялись новые тактики, позволявшие избежать обнаружения. «Они обновили свой арсенал, — говорит аналитик компании ESET Матье Фау (Matthieu Faou), который представил новые данные на конференции ESET, проходившей на этой неделе в Братиславе, Словакия. — Они не прекращали свою шпионскую деятельность».
Операция «Призрак»
После того, как хакерскую группу Dukes обнаружили в сетях DNC в июне 2016 года, она не совсем ушла в тень. Позже в том же году и в 2017 году против нескольких американских аналитических центров и неправительственных организаций, а также правительственных ведомств Норвегии и Нидерландов совершались операции адресного фишинга, и сообщения, как полагают, отправляли хакеры этой группы. Были ли эти фишинговые операции успешными, и удалось ли хакером проникнуть в сети указанных объектов, неизвестно. Кроме того, около года назад ИБ-фирма FireEye связала с этой хакерской группой еще одну повсеместную волну фишинговых атак, хотя в компании ESET говорят, что в последнем случае электронные сообщения содержали только общедоступные вредоносные программы, поэтому трудно доказать их однозначную связь с группой Dukes.
В отличие от этого, во время операции киберпреступников, которая была обнаружена недавно и которую ИБ-специалисты компании ESET назвали «Призрак» (Ghost Hunt), хакерам удалось внедрить в сети атакуемых объектов, по меньшей мере, три новые шпионские программы. Они также использовали уже известный бэкдор MiniDuke, благодаря которому специалисты компании ESET связали более масштабную шпионскую кампанию с группой Dukes, несмотря на недавнее исчезновение группы. «Они ушли в тень, и у нас было мало информации, — говорит Фау. — Но за последние полтора года мы проанализировали несколько вредоносных программ, семейств, которые поначалу не были связаны с ними. Несколько месяцев назад мы поняли, что это были хакеры Dukes».
Фактически, одна из хакерских атак с использованием бэкдора MiniDuke, началась в 2013 году — до того, как эта вредоносная программа была публично идентифицирована, что служит явным свидетельством того, что незаконное проникновение совершила именно хакерская группа Dukes, а не кто-то другой, кто взял вредоносное ПО из другого источника.
Тактические хитрости
В своих новых инструментах группа Dukes использует тактики, позволяющие им действовать незаметно и скрывать свои коммуникации внутри атакованной сети. Среди них — бэкдор FatDuke, названный с учетом его размера, эта вредоносная программа занимает необычные 13 мегабайт, из которых 12 МБ занимает обфускатор, код, позволяющий избежать обнаружения. Чтобы скрыть свою связь с командным сервером (C&C), FatDuke имитирует браузер пользователя, даже имитируя пользовательский агент для браузера, который он находит в атакуемой системе.
Среди новых инструментов, используемых хакерами, есть и более компактные вредоносные программы-закладки, которые ИБ-специалисты компании ESET назвали PolyglotDuke и RegDuke, и каждая из которых служит в качестве программы первого этапа, способной устанавливать другое ПО в атакуемой системе. Оба инструмента имеют необычные средства сокрытия своих следов. PolyglotDuke извлекает домен своего C&C из постов своего контроллера в «Твиттере», «Реддите, «Имиджере» и других социальных сетях. И эти посты могут кодировать домен в символах любого из трех типов (отсюда и название вредоносного ПО) — в японских символах катакана (katakana), чероки (Cherokee) или канси (Kangxi) радикалах, которые служат компонентами китайских иероглифов.
В используемой хакерами группы Dukes программе-закладке RegDuke использован другой метод обфускации — в память атакуемого компьютера устанавливается бесфайловый бэкдор. Затем этот бэкдор связывается с аккаунтом Dropbox, используемым в качестве его C&C, скрывая свои сообщения с помощью метода стеганографии, который невидимо изменяет пиксели на изображениях, чтобы внедрить секретную информацию.
Все эти хитрые уловки помогают объяснить, как хакерская группа оставалась незамеченной при совершении этих атак на протяжении многих лет, говорит Фау из компании ESET. — Они действовали очень осторожно, особенно с коммуникациями в сетях».
Группе Dukes не всегда удавалось скрывать свои данные столь же успешно, как они скрывали свои атаки. В начале прошлого года голландская газета «Фолкскрант» (Volksrant) сообщила, что разведывательная служба Нидерландов AIVD взломала компьютеры и даже камеры наблюдения в здании Московского университета, которые хакеры использовали в 2014 году. В результате голландские агенты разведки смогли наблюдать за хакерами «из-за спины», когда те совершали свои атаки, и даже идентифицировать всех, кто входил и выходил из комнаты, где те работали. Благодаря этой операции разведке Нидерландов удалось окончательно идентифицировать хакерскую группу Dukes как агентов российской СВР. Кроме того, это позволило голландцам предупредить американские власти об атаке на компьютерные системы Госдепартамента США перед взломом серверов DNC, уведомив правительство США об опасности всего через сутки после начала атаки.
Но данные, обнаруженные ИБ-специалистами компании ESET, показывают, как хакерская группа, подобная группе Dukes, может быть в центре внимания — или даже под камерой наблюдения — и при этом скрывать некоторые из своих шпионских операций на протяжении многих лет. Другими словами, лишь то, что хакерская группа, заработав дурную славу, казалось бы, исчезла из поля зрения, не означает, что она не продолжает незаметно работать, не привлекая к себе внимания.