Berygtet hackergruppe er tilbage – og de har nye tricks med sig

En hackergruppe med forbindelser til russiske efterretningstjenester har ført en årelang cyberkampagne mod vestlige mål, viser en undersøgelse fra et cybersikkerhedsfirma. Og gruppen har kun raffineret sine våben, der bliver mere og mere snedige.

Hackergruppen Cozy Bear menes at have forbindelser til den russiske sikkerhedstjeneste (FSB) samt Ruslands føderale efterretningstjeneste (SVR). Forbindelserne ligger så dybt, at gruppen i årevis kunne gemme sig fra vestlige myndigheder og eksperter – og dermed nøje udvælge sine mål. Fold sammen
Læs mere
Foto: Ronen Zvulun/Ritzau Scanpix

Selv om cybertruslen mod flere vesteuropæiske lande stadig er høj, nyder de fleste af dem en høj grad af cybersikkerhed. Dog bør efterretningstjenester i vestlige lande holde et ekstra vågent øje på Rusland – særligt på sociale medier.

Eksperter fra det slovakiske sikkerhedsfirma ESET har nemlig fundet frem til en række softwareprogrammer, som en berygtet russisk hackergruppe har brugt til at angribe en række vestlige virksomheder og regeringer. Og der er grund til at tro, at de har gjort det i meget lang tid.

»De genopbyggede deres arsenal. De stoppede aldrig nogensinde deres spionage,« siger efterforsker i ESET Matthieu Faou til WIRED, efter at virksomheden tidligere på ugen fremlagde sine resultater ved en cyberkonference i Bratislava.

Forsvandt lige pludselig

Cozy Bear, der også går under navnene APT29 og The Dukes, har ifølge en rapport fra den franske sikkerhedsvirksomhed Thales forbindelser til den russiske sikkerhedstjeneste, FSB, samt SVR, den føderale efterretningstjeneste. Fancy Bear, der er en af gruppens mere kendte »brødre«, menes at have forbindelser til Ruslands militære efterretningstjeneste, GRU.

Et eksempel på et opslag på Twitter og andre sociale medier, som Cozy Bear skjulte sin skadelige malware bag. Her er beskeden krypteret med et alfabet, der anvendes af Cherokee-indianere. Fold sammen
Læs mere
Foto: ESET .

Gruppen har i lang tid været i de internationale myndigheders søgelys, efter at Fancy Bear tilsyneladende stod bag den omfattende hacking af følsomme oplysninger og dokumenter, der ramte de amerikanske Demokraters nationale komité i 2016, hvilket påvirkede Hillary Clintons valgkampagne. Efter det amerikanske præsidentvalg neddroslede den samt Cozy Bear deres aktiviteter og gik tilsyneladende under jorden. Men i baggrunden fortsatte de deres angreb, oplyser ESET nu.

»De forsvandt lige pludselig, og vi havde ikke meget information at gå ud fra,« fortæller Matthieu Faou. »Men i løbet af det seneste halvandet år analyserede vi flere typer malware, som ikke tilsyneladende var forbundne. For et par måneder siden opdagede vi så, at det var The Dukes, der stod bag.«

I de nyeste angreb, som ESET kalder for »Operation Ghost«, har Cozy Bear angrebet mindst tre mål: udenrigsministerierne hos to østeuropæiske lande samt ét EU-land, inklusiv netværket hos dette lands amerikanske ambassade. Selvom ESET ikke vil røbe identiteten på ofrene, noterer de, at der sagtens kan være flere end beregnet.

Det er dog ikke første gang, at den stille bjørn er vågnet af sin dvale efter det amerikanske præsidentvalg. Således er gruppen også blevet kædet sammen med en række phising-angreb på forskellige amerikanske tænketanke i 2017 såvel som cyberangreb på den norske og hollandske regering.

Ifølge sikkerhedsfirmaet FireEye står den russiske hackergruppe desuden bag en række andre nylige typer angreb på blandt andet det amerikanske militær, internationale virksomheder og hospitaler. Og ifølge ESET kan gruppens aktiviteter være startet allerede i 2013. Derfor er der al mulig grund til at tro, at de stadig vil gå målrettet efter kritisk infrastruktur i Vesten, siger Matthieu Faou.

Eksempler på billeder, som Cozy Bear brugte til at skjule sine beskeder. Fold sammen
Læs mere
Foto: ESET.

Gemte koder på sociale medier

Med sin genkomst har Cozy Bear også taget en stor pose med nye tricks med sig for at skjule gruppen såvel som sin interne kommunikation i ofrenes netværk. Dette inkluderer en »bagdør« i softwaren, kaldet FatDuke. FatDuke kan via sin datastørrelse på 13MB gemme sig fra antivirusprogrammer, og den kan derudover efterligne sit offers internetbrowser for at forhindre, at systemet opdager malwaren.

Den nye malware gemte efter sigende også sine koder i bestemte billedfiler via stenografiske metoder, altså at gemme beskeder eller koder i bestemte billeders pixel, for at skjule kodens interne kommunikation. Og for at gøre det endnu sværere at gennemskue beskederne, kan malwaren kode sit domæne i japansk, kinesisk og endda Cherokee-skrift.

Som med andet malware anvendt af gruppen benytter den nye software sig også af offentlige internetfora og sociale medier som Reddit, Twitter og OneDrive til at kommunikere og tage ordrer fra de bagmænd, der stod bag hackerkampagnen, har ESET offentliggjort i sin rapport.

Altså har Cozy Bear gjort sig meget umage med ikke at blive opdaget. Så meget at de i flere år kunne gemme sig fra vestlige efterretningstjenester og sikkerhedsvirksomheder og dermed uhindret foretage deres angreb.

Cozy Bear delte sine koder og malware på sociale medier og internetfora som Reddit. Her er et eksempel på en kodet hjemmesideadresse, som gruppen benyttede sig af. Fold sammen
Læs mere
Foto: ESET.

»De var meget forsigtige, specielt med at kommunikere over netværk,« siger Matthieu Faou.

Trods dette er der ifølge ESET ingen grund til at tro, at gruppen er lige så aktive som førhen. Dette skyldes til dels, at hackernes identitet er blevet kompromitteret. Forrige år kunne den hollandske avis de Volksrant således berette, at den hollandske efterretningstjeneste AIVD i 2014 brød ind i computere og overvågningskameraer i et universitet i Moskva og fandt frem til gruppens medlemmer samt deres forbindelse til det russiske SVR.