FBI publikuje raport: Rosjanie regularnie włamywali się przed wyborami do systemów USA

31 grudnia, 2016

Z przeprowadzonego śledztwa przez Departament Bezpieczeństwa Wewnętrznego, Federalne Biuro Śledcze i opublikowanego raportu GRIZZLY STEPPE wynika, że pracująca na zlecenie grupa hackerów nazwana w raporcie „rosyjskimi cywilnymi i wojskowymi służbami wywiadowczych („Russian civilian and military intelligence Services”, w skrócie RIS), w okresie od lata 2015 do wiosny 2016 miała dostęp do punktów końcowych – systemów powiązanych z wyborami w USA, jak również systemów rządowych, politycznych i prywatnych w sektorze przemysłowym.  

Według raportu, zaobserwowana w tym czasie aktywność RIS jest częścią czegoś większego – trwającej operacji cybernetycznej kierowanej w rząd USA. Działania te obejmowały ukierunkowane kampanie phishingwe (spear phishing) w organizacje rządowe, ośrodki badawcze, uniwersytety i inne organizacje polityczne. RIS odpowiedzialny jest nie tylko za penetrowanie systemów amerykańskich. Raport wskazuje także na prowadzone szkodliwe operacje mające na celu eksfiltrację informacji w innych krajach (raport nie podaje w jakich), w tym ataki na krytyczną infrastrukturę najważniejszych podmiotów państwowych.

Za cyberwłamania odpowiedzialne są dwie grupy przestępcze: APT29 – znana też jako Cozy Bear lub The Dukes – która zdołała wejść w posiadanie tajnych informacji w okresie letnim 2015 roku, oraz APT28 (aka Sednit, Sofacy lub Pawn Storm) – na wiosnę 2016 roku członkowie tego cybergangu zdołali wytransferować z amerykańskich serwerów poufne dokumenty, zainstalować keyloggery i zdalnie wykonywać polecenia posługując się szkodliwym oprogramowaniem. 

RIS
Zastosowana taktyka i techniki przez grupy APT29 i APT28 do przeprowadzania włamań cybernetycznych na systemy docelowe.

Obie grupy zainteresowane były organizacjami rządowymi, think tankami, uniwersytetami i podmiotami współpracującymi z innymi rządami państw na świecie. Grupa APT29 do ataków wykorzystywała zawsze skuteczny spear phishing – to dużo trudniejsza w rozpoznaniu metoda socjotechnicznego ataku polegająca na wzbudzeniu zaufania u osoby, jako najsłabszego ogniwa łańcucha bezpieczeństwa konkretnego systemu. Po udanej akcji zainstalowania trojana RAT (Remote Access Trojan), kolejne kroki mające na celu szpiegowanie konkretnych osób (wiadomości e-mail, portale społecznościowe) były tylko formalnością. Grupa APT28 zastosowała podobną taktykę, ale wykorzystując inne narzędzia – raport podaje, że jedną z przyczyn zainstalowania złośliwego oprogramowania na punktach końcowych były skrócone linki wykorzystane w ukierunkowanych phishingowych wiadomościach e-mail.

W podanym okresie przez autorów raportu, wysłano dobrze przygotowane wiadomości phishingowe ze złośliwymi linkami do ponad 1000 osób, które pracowały dla wyżej wymienionych podmiotów w sektorze publicznym i prywatnych oraz rządowym. W trakcie tej kampanii, grupa APT29 z powodzeniem zainfekowała komputery kilku członków partii politycznej Stanów Zjednoczonych Ameryki dostarczając na ich komputery złośliwe oprogramowanie, który tylko doprowadziło do eskalacji incydentu: wytransferowano na zewnątrz ważne dokumenty, całe katalogi danych i wiadomości e-mail – z wykorzystaniem szyfrowanych połączeń, co uniemożliwia precyzyjne wskazanie winnych. 

Wiosną 2016 roku, grupa APT28 zastosowała niemal tą samą taktykę ze spear-phishingiem w tle, wymuszając na swoich ofiarach zmianę haseł dla różnych usług.  

podesta phish
Jedną z ofiar był John Podesta, szef kampanii prezydenckiej Hillary Clinton.

Z informacji, które zostały udostępnione publicznie nie wynika wprost, że atakującymi byli Rosjanie z grup APT28 / APT29 – raport nie podaje szczegółowych informacji i dowodów, dzięki którym możnaby powiązać szkodliwe oprogramowanie lub narzędzia stosowane przez APT28 / APT29. W ostatnich zdaniach raportu znajduje się informacja, że RIS nadal angażuje się w kampanie spear-phishingowe, w tym niedawno, bo w listopadzie 2016 roku, zaledwie kilka dni po wyborach w USA ponownie wykryto podejrzaną aktywność sieciową.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]