Позначка: Хакерське угрупування

Російське угруповання хакерів Cold River атакувало ядерні лабораторії США

Агентство Рейтер встановило, що хакери, яких експерти з кібербезпеки пов’язують із Росією, намагалися атакувати американські ядерні лабораторії. Угруповання Cold River, що підтримує інформаційні операції Кремля, пов’язане з жителем Сиктивкара Андрієм Корінцем, вважають експерти.

Як стверджують журналісти, у серпні-вересні минулого року хакери з угруповання Cold River спробували проникнути у внутрішні мережі національної лабораторії Брукхейвен у штаті Нью-Йорк, Аргонської національної лабораторії в Чикаго і Ліверморської національної лабораторії в Каліфорнії. Усіма трьома лабораторіями керує міністерство енергетики США.

В агентстві Рейтер встановили, що пов’язані з хакерською групою люди намагалися отримати паролі від внутрішніх мереж установ. Та створювали фальшиві логін-екрани і надсилаючи електронні листи їхнім співробітникам. З якою метою вони хотіли зламати лабораторії, журналістам невідомо. У міністерстві енергетики США і російському посольстві у Вашингтоні не відповіли на запитання агентства.

Зв’язок цих спроб атаки з угрупованням Cold River підтверджують п’ять експертів з індустрії кібербезпеки – хакери залишили цифрові сліди, які раніше були пов’язані з Cold River.

Американське Агентство національної безпеки і британський Центр урядових комунікацій не стали коментувати активність угрупування.

Деталі про Cold River

Активність Cold River значно зросла з початком повномасштабного російського вторгнення в Україну, зазначають опитані агентством експерти з кібербезпеки. Перші кібератаки проти американських лабораторій почалися незабаром після прибуття місії Агентства ООН з атомної енергетики (МАГАТЕ) на захоплену російськими військами Запорізьку АЕС. Метою місії було забезпечити безпеку і за можливості встановити демілітаризовану зону навколо станції.

Cold River потрапила в поле зору західних експертів після атаки на системи британського міністерства закордонних справ 2016 року і відтоді, на думку експертів, брала участь у кількох десятках інформаційних операцій.

У травні хакери опублікували електронні листи колишнього глави британської розвідслужби МІ-6. В липні вони атакували сайти уряду Литви незабаром після того, як її влада заблокувала транспортування вантажів, які прямують до Росії з Калінінградської області через литовську територію. Тоді в телеграм-каналі однієї з відомих російських хакерських груп з’явився заклик атакувати литовські держустанови – разом зі списком цілей. Від початку війни хакери атакували державні сайти та внутрішні системи розвідслужб Польщі, Румунії, Молдови та Болгарії.

Також Cold River пов’язують щонайменше з трьома фейковими вебсайтами, що імітують сайти НКО, які розслідують воєнні злочини в Україні. Принаймі так кажуть у французькій компанії SEKOIA.IO. Кібератаки почалися незабаром після публікації в жовтні висновків незалежної комісії ООН про те, що російські військові несуть відповідальність за переважну більшість військових злочинів в Україні. У SEKOIA.IO вважають, що метою цих спроб злому був збір Росією інформації про свідчення військових злочинів.

Ряд помилок хакерів

За останні роки хакери з Cold River зробили низку помилок, які дали змогу експертам із кібербезпеки принаймні частково їх відстежити і підтвердити їхній зв’язок із Росією, кажуть експерти з компаній Google, BAE і Nisos. Кілька пов’язаних із сайтами електронних адрес, як виявилося, належать 35-річному жителю Сиктивкара Андрію Корінцу, відомому в ІТ-середовищі міста.

Біллі Леонард, експерт із державних хакерських операцій із Google, вважає, що Корінець пов’язаний з операціями Cold River. “Google ідентифікувала цю людину як пов’язану з групою Cold River та їхніми ранніми операціями”, – каже він.

Директор з безпеки компанії Nisos Вінцас Чажунас теж пов’язує Корінця з цими хакерами і називає їх угрупування “центральною фігурою” в хакерській спільноті Сиктивкара. Зареєстровані на його ім’я електронні адреси пов’язали зі створеними хакерами сайтами і самі журналісти, за допомогою інструментів Constella Intelligence і DomainTools.

Сам Корінець відповів на запитання агентства. Він сказав, що його єдиний хакерський досвід мав місце кілька років тому. Тоді коли російський суд призначив йому штраф за кібератаку.

“Чи мав Корінець стосунок до операцій Cold River після 2020 року, незрозуміло. Він не став пояснювати, як пов’язані з операціями хакерів його електронні адреси, і перестав відповідати на дзвінки та листи”, – пише агентство.

Злам Cisco пов’язаний із російськомовними хакерами з Evil Corp

Експерти eSentire встановили, що інфраструктура, використана для злому Cisco у травні 2022 року, місяцем раніше використовувалася для компрометації не названої компанії, що займається HR рішеннями.

Дослідники вважають, що за цими інцидентами стоять зловмисники, пов’язані з Evil Corp. Нагадаю, ми також говорили, що Cisco не буде виправляти вразливість RCE у старих маршрутизаторах RV.

У серпні 2022 року представники Cisco підтвердили, що у травні корпоративна мережа компанії була зламана групою шифрувальників Yanluowang. Пізніше зловмисники намагалися вимагати у Cisco гроші, інакше погрожуючи опублікувати вкрадені під час атаки дані у відкритому доступі. Тоді в компанії наголосили, що хакерам вдалося викрасти лише неконфіденційні дані з папки Box, пов’язаної зі зламаним обліковим записом співробітника.

Аналітики eSentire тепер кажуть, що атака могла бути справою рук злочинця, відомого як mx1r. Вважається, що він є учасником однієї з «філій» відомого російськомовного угрупування Evil Corp (відома ще як UNC2165).

Дослідники пишуть, що доступ до мережі жертв спочатку здійснювався з використанням вкрадених облікових даних VPN, а потім зловмисники використовували готові інструменти для подальшого просування в мережі.

За допомогою Cobalt Strike зловмисники змогли закріпитись у системі. Вони діяли швидко з моменту початкового доступу до того моменту, коли їм вдалося зареєструвати власну віртуальну машину в VPN-мережі жертви.” – кажуть експерти.

Дослідники підозрюють зв’язок mx1r з Evil Corp через збіг ряду тактик зловмисників, у тому числі через організацію атаки kerberoasting на службу Active Directory та використання RDP для просування в мережі компанії.

При цьому, незважаючи на ці зв’язки, інфраструктура HiveStrike, що використовується для організації атаки, в цілому відповідає інфраструктурі одного з «партнерів» групи Conti, яка раніше поширювала шифрувальники Hive і Yanluowang. Ці хакери зрештою опублікували дані, вкрадені у Cisco, на своєму даркнеті.

Самі представники Cisco писали, що атака, швидше за все, здійснена зловмисником, який раніше був брокером первинного доступу і мав зв’язки зі злочинним угрупуванням UNC2447, групою Lapsus$ та операторами програми-вимагача Yanluowang.

Ці невідповідності, схоже, не турбують аналітиків eSentire:

Здається малоймовірним (але не неможливим), що Conti надає свою інфраструктуру Evil Corp. Більш правдоподібно те, що партнер Evil Corp/UNC2165 може працювати з однією з нових дочірніх компаній Conti. Також можливо, що початковий доступ до мережі компанії був наданий партнером Evil Corp, але в кінцевому підсумку був проданий операторам Hive і пов’язаним з ними особам.”

Gamaredon/ ACTINIUM атакує українські організації

Нещодавно команда Microsoft Threat Intelligence Center (MSTIC) поділилася в блозі Microsoft Security своїм звітом про ACTINIUM, групу хакерів, яка вже майже десятиліття атакує українські організації.

«Як і у випадку з будь-якою спостережуваною діяльністю хакерів на національному рівні, Microsoft безпосередньо сповіщає клієнтів про онлайн-сервіси, які були атаковані або зламані, надаючи їм інформацію, необхідну для захисту їхніх облікових записів», — йдеться у дописі MSTIC.

Група наполегливо намагається отримати доступ до організацій в Україні чи установ, пов’язаних із українськими справами. MSTIC раніше ідентифікував активність ACTINIUM як DEV-0157. На світовій арені група більш відома під назвою Gamaredon.

Що таке Gamaredon/ ACTINIUM?

Дослідження зосереджується на останніх півроку діяльності групи, надаючи детальну інформацію про те, які інструменти використовують хакери та як вони їх використовують. За даними MSTIC, група, схоже, діє з окупованого Росією півострова Крим. Український уряд публічно заявив, що за діяльністю цієї групи стоїть Федеральна служба безпеки Росії (ФСБ).

ACTINIUM націлений безпосередньо на організації в Україні, включаючи військові, урядові, неурядові організації (НУО), правоохоронні, судові та багато неприбуткових організацій. Основні наміри групи – вилучення конфіденційної інформації, а також збереження доступу до пов’язаних організацій. Microsoft поділилася інформацією у звіті з українською владою.

З жовтня 2021 року ACTINIUM атакував або зламував численні акаунти в організаціях, які мають вирішальне значення в реагуванні на надзвичайні ситуації та забезпеченні безпеки території України. Хакери також ставлять своєю метою атак організації, які будуть надавати гуманітарну та міжнародну допомогу Україні в умовах кризи.

Фахівці MSTIC кажуть, що діяльність цієї групи хакерів значно відрізняється від тієї, яка була виявлена раніше, мова йде про DEV-0586. Команда помітила, що діяльність групи стосується лише організацій в Україні та не використовує жодних невиправлених уразливостей у продуктах та послугах Microsoft.

MSTIC також зазначає, що тактика Gamaredon/ACTINIUM постійно розвивається, і описані в блозі методи роботи не охоплюють повного обсягу атак цієї групи хакерів. Ті, які спостерігала команда MSTIC, є лише одними з найбільш помітних активностей.

Опис активності хакерської групи Gamaredon/ACTINIUM

Одним із методів, які група використовує для отримання початкового доступу, є фішинг цільових жертв. Листи, надіслані групою, містять шкідливі вкладення макросу, які згодом запускають віддалені шаблони.

Віддаленний запуск шаблону – це спосіб завантажити документ віддаленого шаблону документа, який містить шкідливий код, у даному випадку макроси. Цей метод гарантує, що жертва завантажує шкідливий вміст лише тоді, коли це необхідно для хакерів. Наприклад, коли користувач відкриває шкідливий документ.

Розгортання такого методу також дозволяє зловмисникам успішно уникати виявлення системами, які сканують на шкідливий вміст. Крім того, шкідливі макроси дають зловмисникам можливість контролювати, коли і як буде доставлений шкідливий компонент. Це також дозволяє групі ухилятися від виявлення.

Gamaredon/ ACTINIUM атакує українські організації
Фішингові листи, які розсилала група

З того, що MSTIC помітив, ця група хакерів маскує свої шкідливі електронні листи під ті, які надсилаються офіційними організаціями. У деяких прикладах, наданих MSTIC, вони маскували електронні листи так начебто вони надсилалися від Всесвітньої організації охорони здоров’я.

На додаток до макросів хакери також використовують веб-жучки, щоб відстежувати, коли повідомлення було відкрито та змінено. Ці жучки самі по собі не є шкідливими, але вони можуть вказувати на те, що отриманий електронний лист може бути шкідливим. Додатки макросів Gamaredon/ACTINIUM містять завантаження першого етапу, яке завантажує та виконує подальші завантаження.

Gamaredon/ ACTINIUM атакує українські організації
Ще один приклад фішинг листа надісланого групою

Але для спеціалістів було незрозуміло, чому в деяких випадках було кілька завантажувальних етапів. MSTIC припускає, що це може бути зроблено для забезпечення можливості того, що повнофункціональні шкідливі завантаження менш імовірно будуть виявлені системами виявлення.

Група хакерів зберігає присутність і збирає дані для розвідки

MSTIC дійшов висновку, що головною метою діяльності групи є моніторинг та збір конфіденційної інформації з мереж, до яких здійснюється доступ. Для виконання наступних кроків група хакерів спочатку запускає інтерактивні засоби доступу; найвідомішим з них і з найбільш розвиненим функціоналом є «Птеродо».

Іншим прикладом буде UltraVNC, офіційна і повнофункціональна програма віддаленого робочого столу з відкритим вихідним кодом. Це дозволяє групі хакерів легко взаємодіяти з цільовим хостом. Той факт, що група хакерів не покладається на спеціальні двійкові файли, гарантує, що програма не буде виявлена ​​або видалена продуктами безпеки.

Після отримання інтерактивного доступу до цільової мережі запускається виконання широкого спектру шкідливих програм. MSTIC проаналізував приклади шкідливих програм і згрупував їх у такі сімейства шкідливих програм: Pterodo, PowerPunch, ObfuMerry, ObfuBery, DilongTrash, DesertDown, DinoTrain, QuietSieve.

Які ознаки діяльності хакерської групи Gamaredon/ACTINIUM?

Для клієнтів Microsoft команда підготувала поради щодо виявлення активності цієї групи загроз.
Далі будуть ті, що стосуються електронних листів:

  • Зловмисне програмне забезпечення не було заблоковано, оскільки ZAP вимкнено;
  • Виявлена ​​та заблокована кампанія зловмисного програмного забезпечення;
  • Виявлена ​​кампанія зловмисного програмного забезпечення після доставки електронного листа;
  • Електронний лист повідомляється користувачем як зловмисне програмне забезпечення або фішинг;
  • Електронний лист видалено після доставки;
  • Видалено повідомлення електронної пошти після доставки, яке містило зловмисне програмне забезпечення;
  • Видалено електронний лист після доставки​, яке містило шкідливий файл.

Вищезгадані попередження безпеки повинні вказувати на зловмисницьку діяльність, пов’язану з цією групою хакерів. Однак попередження не обов’язково можуть бути пов’язані з Gamaredon/ACTINIUM. Команда надала їх на випадок атаки групою, коли користувачі повинні негайно розслідувати причину, враховуючи серйозність наслідків діяльності хакерів.

Попередження в центрі безпеки, які також можуть вказувати на активність цієї групи, включатимуть:

  • Підозрілий на вигляд процес, який передає дані до якоїсь зовнішньої мережі;
  • Постановка конфіденційних даних;
  • Сумнівна активність захоплення екрана;
  • Незвичайний файл, створений і доданий до ключа виконання;
  • Створено ненормально заплановане завдання;
  • Завантажена дивна бібліотека динамічних посилань;
  • Ненормальний процес, що виконує закодовану команду.

Список також включає різні дії щодо підозрілого виконання файлу.