Uzun süredir devam eden casusluk kampanyası

FireEye'den yeni bir rapora göre, gizli saldırıların devlet destekli diğer saldırılardan daha az ipucu bırakmasına rağmen, Rusya uzun süredir devam eden bir casusluk casusluk kampanyasının arkasındadır.

FireEye, APT28 grubunu çağırıyor. sürekli tehdit, ”diyor şirketin Mandiant bölümünün analistlerin ayrı bir gruptan geldiği saldırıları sınıflandırmak için kullandığı bir isimlendirme.

APT en az altı yıl boyunca faaliyet gösteriyor. Gürcistan ve Avrupa hükümetlerine, ordularına ve güvenlik örgütlerine odaklanan Kafkasya bölgesi gibi Rusya'ya ilgi duyabilecek hedeflere odaklanma eğilimindedir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Fakat siber uzayda Rus faaliyetinin izlenmesi daha zordur ve FireEye'ın APT28 tarafından yapılan saldırılara atfedilmesi, kötü niyetli kodun ve zamanlamanın analizini temel almaktadır.

Örneğin, FireEye'in raporu analiz ettiği kötü amaçlı dosyaların yarısından fazlasının olduğunu söylüyor. Rus dili ayarlarına göre, “APT28 kötü amaçlı yazılımın önemli bir kısmı, altı yıl boyunca sürekli olarak Rus dilinde bir yapı ortamında derlenmiştir.”

Ayrıca, kötü amaçlı yazılımların yüzde 96'sı Pazartesi gününe kadar derlenmiştir. Cuma saat 8:00 - 18:00 arasında Moskova saat bölgesinde.

FireEye'in Mandiant şubesi, 2013 yılının başlarında Çin Halkının bir birimi tarafından yönetilen devlet destekli bir bilgisayar korsanlığı programı olduğunu açıklamakla tanınıyor. Şanghay'daki Kurtuluş Ordusu, iddia edildiği gibi çalıştığı binanın fotoğraflarını içeren bir raporda.

Mayıs ayında ABD Adalet Bakanlığı, Kurtuluş Ordusu'nun beş üyesini, ABD şirketlerinin ticari sırlarını çalmakla suçladı. Mandiant'ın raporunda takma adlarıyla belirlenenler.

Rusya ile, “bir binanın resminin, açığa vurulacak şahısların, ya da bir devlet kurumunun adının olmaması, sahip olduğumuz şey, uzun vadeli ve odaklanmış operasyonların bir kanıtıdır. hükümet destekçisi, özellikle Moskova merkezli bir hükümet, ”dedi. FireEye'in haberi.

APT28, kurbanlarını e-postalar ile hedefliyor, bu da insanları bir dosyayı açmaya veya bir bağlantıyı takip etmeye ikna etmeye çalışıyor, bu da kötü amaçlı yazılım bulaşmasına neden olabilir.

APT28'in bilgisayarlara kurmaya çalıştığı ortak araçlardan bazıları, ayrıca bir indirici olan Sofacy olarak da adlandırılan Sourface; Eviltoss, kabuk kodu çalıştırmak ve kimlik bilgilerini çalmak için kullanılan bir arka kapı; ve FireEye'in “modüler implant” olarak tanımladığı Chopstick.

APT28, özellikle Chopstick tarafından kullanılan araçlar, “metodolojik, gayretli programcıları belirten resmi kodlama uygulamalarını gösterir” diye yazdı FireEye, şöyle yazdı:

Eviltos, örneğin, çalıntı verileri şifreleyen bir RSA ortak anahtarı. Bazı Eviltoslar varyantları, SMTP (basit posta aktarım protokolü) üzerinden gönderilen verileri, kurbanın posta sunucusundan çıkan ekte gönderir.

“APT28, büyük olasılıkla bir grup geliştirici tarafından uzun vadeli amaçlanan araçlar yaratarak desteklenmektedir. faaliyetlerini gizlemek için çaba sarf eden çok yönlülük ve kullanım ”diye yazdı. “Bu, APT28'in, köklü bir organizasyondan, büyük olasılıkla bir ulus devlet yönetiminden doğrudan mali ve diğer kaynakları aldığını gösteriyor.”