Getty Images
Eine der aktivsten Hacking-Gruppen des Kremls, die es auf die Ukraine abgesehen hat, hat kürzlich versucht, sich in ein großes Ölraffinerieunternehmen in einem NATO-Land zu hacken. Der Angriff ist ein Zeichen dafür, dass die Gruppe ihre Informationsbeschaffung ausweitet, während Russlands Invasion in seinem Nachbarland weitergeht.
Der Hacking-Versuch fand am 30. August statt und schlug laut Forschern der Palo Alto Networks Unit 42 fehl. sagte Dienstag. Die Hackergruppe – die unter verschiedenen Namen wie Trident Ursa, Gamaredon, UAC-0010, Primitive Bear und Shuckworm verfolgt wird – wurde vom ukrainischen Sicherheitsdienst dem russischen Bundessicherheitsdienst zugeteilt.
Zielen Sie auf den Energiesektor
In den letzten 10 Monaten hat Unit 42 über 500 neue Domänen und 200 Proben und andere Breadcrumbs abgebildet, die Trident Ursa in Phishing-Kampagnen hinterlassen hat, die darauf abzielen, Ziele mit informationsstehlender Malware zu infizieren. Die Gruppe verwendet hauptsächlich Lock-E-Mails auf Ukrainisch. In jüngerer Zeit zeigen jedoch einige Proben, dass die Gruppe auch begonnen hat, englische Köder zu verwenden.
„Wir glauben, dass diese Proben darauf hindeuten, dass Trident Ursa versucht, seine Informationsbeschaffung und seinen Netzwerkzugang gegen ukrainische und NATO-Verbündete zu verstärken“, schrieben die Forscher des Unternehmens.
Unter den Dateinamen, die bei dem erfolglosen Angriff verwendet wurden, waren: MilitaryassistanceofUkraine.htm, Necessary_military_assistance.rar und Liste der Anforderungen für die Bereitstellung militärischer humanitärer Hilfe für die Ukraine.lnk.
Der Bericht vom Dienstag nannte weder die betroffene Ölgesellschaft noch das Land, in dem sich die Anlage befand. In den letzten Monaten haben westlich orientierte Beamte Warnungen herausgegeben, dass der Kreml sein Augenmerk auf Energieunternehmen in Ländern gerichtet hat, die gegen Russlands Krieg gegen die Ukraine sind.
Letzte Woche zum Beispiel sagte der Direktor für Cybersicherheit der National Security Agency, Rob Joyce, er sei besorgt über bedeutende russische Cyberangriffe, insbesondere auf den globalen Energiesektor. laut CyberScoop.
„Ich würde niemanden ermutigen, selbstzufrieden zu sein oder sich nicht um Bedrohungen für den Energiesektor weltweit zu kümmern“, sagte Joyce laut CyberScoop. ” Als die [Ukraine] Wenn der Krieg fortschreitet, gibt es sicherlich Möglichkeiten, den Druck auf Russland auf taktischer Ebene zu erhöhen, was sie veranlassen wird, es neu zu bewerten und verschiedene Strategien auszuprobieren, um daraus herauszukommen.
Die NSA Jahresrückblick bemerkt, dass Russisch hat hat mindestens sieben separate Wiper-Malware-Elemente ausgelöst darauf ausgelegt, die Daten dauerhaft zu vernichten. Einer dieser Wischer Tausende von Satellitenmodems entfernt von Kunden des Kommunikationsunternehmens Viasat verwendet. Unter den beschädigten Modems befanden sich Zehntausende von Terminals außerhalb der Ukraine, die Windkraftanlagen unterstützen und Privatpersonen Internetdienste bereitstellen.
Vor zehn Tagen warnte der norwegische Ministerpräsident Jonas Gahr Støre davor, dass Russland eine „echte und ernsthafte Bedrohung… zur westeuropäischen Öl- und Gasindustrie”, während das Land versucht, den Willen der ukrainischen Verbündeten zu brechen.
Die Hacking-Techniken von Trident Ursa sind einfach, aber effektiv. Die Gruppe verwendet mehrere Mittel, um IP-Adressen und andere Signaturen ihrer Infrastruktur, Phishing-Dokumente mit niedrigen Erkennungsraten bei Anti-Phishing-Diensten und bösartige HTML- und Word-Dokumente zu verbergen.
Die Forscher von Unit 42 schrieben:
Trident Ursa bleibt ein agiles und anpassungsfähiges APT, das in seinem Betrieb keine übermäßig ausgefeilten oder komplexen Techniken verwendet. In den meisten Fällen verlassen sie sich auf öffentlich verfügbare Tools und Skripte sowie auf ein erhebliches Maß an Verschleierung sowie auf routinemäßige Phishing-Versuche, um ihre Operationen erfolgreich auszuführen.
Die Operationen dieser Gruppe werden regelmäßig von Forschern und Regierungsorganisationen entdeckt, aber sie scheinen sich nicht darum zu kümmern. Sie fügen einfach mehr Verschleierung, neue Domänen und neue Techniken hinzu und versuchen es erneut, wobei sie oft sogar frühere Samples wiederverwenden.
Trident Ursa arbeitet seit mindestens 2014 kontinuierlich auf diese Weise und ohne Anzeichen einer Verlangsamung während dieser Zeit des Konflikts und ist weiterhin erfolgreich. Aus all diesen Gründen bleiben sie eine erhebliche Bedrohung für die Ukraine, eine Bedrohung, gegen die sich die Ukraine und ihre Verbündeten aktiv verteidigen müssen.
Der Bericht vom Dienstag enthält eine Liste von Krypto-Hashes und anderen Indikatoren, die Organisationen verwenden können, um festzustellen, ob Trident Ursa sie ins Visier genommen hat. Es enthält auch Vorschläge, wie Organisationen vor der Gruppe geschützt werden können.