Modern technology gives us many things.

Οι κυβερνοεγκληματίες που στόχευσαν την Ουκρανία είναι στην πραγματικότητα ρωσικοί κυβερνητικοί χάκερ, λένε οι ερευνητές

Για χρόνια, ρωσικά κυβερνητικοί χάκερ έχουν χρησιμοποιήσει αρκετές φτιαγμένες περσόνες να κρύψουν τα ίχνη τους και να προσπαθήσουν να ξεγελάσουν τους ερευνητές ασφαλείας και τις κυβερνητικές υπηρεσίες ώστε να ρίξουν την ευθύνη προς τη λάθος κατεύθυνση.

Εχουν προσποιήθηκε ότι ήταν ένας μοναχικός Ρουμάνος χακτιβίστας Ονόμασαν Guccifer 2.0 όταν χάκαραν την Εθνική Επιτροπή των Δημοκρατικών. εξαπέλυσε ένα καταστροφικό κακόβουλο λογισμικό έχει σχεδιαστεί για να μοιάζει με τρέχον ransomware. κρύφτηκε μέσα στους διακομιστές χρησιμοποιείται από μια ιρανική ομάδα hacking. ισχυρίστηκε ότι είναι μια ισλαμιστική ομάδα χάκερ που ονομάζεται Cyber ​​Califate; χακάρισε τους Χειμερινούς Ολυμπιακούς Αγώνες του 2018 αφήνοντας τριμμένη φρυγανιά Αυτό έδειξε τη Βόρεια Κορέα και την Κίνα. και διέλυσε ψευδή στοιχεία μέσα σε έγγραφα κυκλοφόρησε ως επιχείρηση παραβίασης και διαρροής που υποτίθεται ότι διεξήχθη από μια ομάδα χακτιβιστών που ονομάζεται Cyber ​​Berkut.

Τώρα, ερευνητές ασφαλείας ισχυρίζονται ότι βρήκαν μια νέα ψεύτικη σημαία της ρωσικής κυβέρνησης.

Σύμφωνα με ερευνητές ασφαλείας στο BlackBerry, η ομάδα εγκλήματος στον κυβερνοχώρο γνωστή ως Κούβα Ransomware, το οποίο προηγουμένως είχε συνδεθεί με ένα στέλεχος κακόβουλου λογισμικού γνωστό ως RomCom RAT, δεν είναι καθόλου ομάδα εγκλήματος στον κυβερνοχώρο. Είναι στην πραγματικότητα μια ομάδα που εργάζεται για τη ρωσική κυβέρνηση με στόχο τις ουκρανικές στρατιωτικές μονάδες και τις τοπικές κυβερνήσεις, είπαν οι ερευνητές.

«Είναι μια παραπλανητική απόδοση», είπε ο Ντμίτρι Μπεστούζεφ, ανώτερος διευθυντής της ομάδας Πληροφοριών για απειλές στον κυβερνοχώρο της BlackBerry, αναφερόμενος στους δεσμούς μεταξύ της RomCom RAT και της Κούβας. «Φαίνεται ότι είναι απλώς μια άλλη μονάδα που εργάζεται για τη ρωσική κυβέρνηση», είπε.

Η ρωσική πρεσβεία στην Ουάσιγκτον, DC δεν απάντησε σε αίτημα για σχόλιο.

Το RomCom RAT είναι ένας trojan απομακρυσμένης πρόσβασης ανακαλύφθηκε για πρώτη φορά από την Ενότητα 42η ερευνητική ομάδα ασφάλειας Palo Alto Networks, τον Μάιο του 2022. Οι ερευνητές ασφάλειας της εταιρείας συνέδεσαν το κακόβουλο λογισμικό με τη συμμορία της Κούβας, η οποία έχει χρησιμοποιήσει ransomware εναντίον στόχων στους τομείς των «οικονομικών υπηρεσιών, κρατικών εγκαταστάσεων, υγειονομικής περίθαλψης και δημόσιας υγείας, κρίσιμης παραγωγής, και τεχνολογίας πληροφοριών», σύμφωνα με την αμερικανική υπηρεσία κυβερνοασφάλειας CISA.

Το όνομα προέρχεται από την ίδια την ομάδα, η οποία χρησιμοποιούσε εικονογραφήσεις των Φιντέλ Κάστρο και Τσε Γκεβάρα στον σκοτεινό ιστότοπό της, αν και κανένας ερευνητής δεν βρήκε ποτέ κανένα στοιχείο ότι η ομάδα έχει κάποια σχέση με το νησιωτικό έθνος.

Η RomCom RAT φέρεται να έχει χρησιμοποιούσε ψεύτικες εκδόσεις δημοφιλών εφαρμογών να στοχεύει τα θύματά του, όπως ο διαχειριστής κωδικών πρόσβασης KeePass, το εργαλείο διαχείρισης IT SolarWinds, το Advanced IP Scanner και το Adobe Acrobat reader. Τους τελευταίους μήνες, σύμφωνα με τον Bestuzhev και τους συναδέλφους του, η RomCom RAT στόχευσε επίσης ουκρανικές στρατιωτικές μονάδες, τοπικές κυβερνητικές υπηρεσίες και το κοινοβούλιο της Ουκρανίας.

Ο Bestuzhev εξήγησε ότι το συμπέρασμά τους δεν βασίζεται μόνο στους στόχους, αλλά και στο χρονοδιάγραμμα των επιχειρήσεων των χάκερ.

Η ομάδα του παρακολουθούσε την ομάδα για ένα χρόνο και ακολούθησε τα ίχνη της μέσω του Διαδικτύου. Στο πλαίσιο της έρευνάς τους, οι ερευνητές παρατήρησαν τους χάκερ που χρησιμοποιούν διαφορετικά ψηφιακά πιστοποιητικά για να καταχωρήσουν τους ψεύτικους τομείς που χρησιμοποιούσαν για την εγκατάσταση κακόβουλου λογισμικού σε στόχους.

Σε μια περίπτωση, οι ερευνητές παρακολούθησαν τους χάκερ που δημιούργησαν ένα ψηφιακό πιστοποιητικό που παρουσίαζε στην Αυστρία για να υπογράψουν έναν ιστότοπο που είχε παγιδευτεί με εκρήξεις στις 23 Μαρτίου, μια εβδομάδα πριν από τον Πρόεδρο της Ουκρανίας Volodymyr Zelenskyy απευθύνθηκε στο αυστριακό κοινοβούλιο μέσω βιντεοκλήσης.

Το ίδιο μοτίβο συνέβη και άλλες φορές. Όταν οι χάκερ της RomCom RAT μιμήθηκαν έναν ιστότοπο της SolarWinds τον Νοέμβριο του 2022, ήταν περίπου η εποχή που οι ουκρανικές δυνάμεις μπήκε στην πολιορκημένη πόλη Χερσώνα. Όταν οι χάκερ μιμήθηκαν το Advanced IP Scanner τον Ιούλιο του 2022, ήταν ακριβώς όπως ξεκίνησε η Ουκρανία αναπτύσσοντας πυραύλους HIMARS που παρέχονται από την κυβέρνηση των ΗΠΑ. Και στη συνέχεια, τον Μάρτιο του 2023, οι χάκερ μιμήθηκαν το Remote Desktop Manager την εποχή που οι Ουκρανοί πιλότοι εκπαιδεύονταν να πετούν με μαχητικά αεροσκάφη F-16και την Πολωνία και τη Σλοβακία αποφάσισε να παρέχει Ουκρανία με στρατιωτική τεχνολογία.

“Έτσι, κάθε φορά που συνέβαινε ένα σημαντικό γεγονός, όπως κάτι μεγάλο στη γεωπολιτική, και ειδικά στο στρατιωτικό πεδίο, η RomCom RAT ήταν ακριβώς εκεί, ακριβώς εκεί”, είπε ο Bestuzhev.

Άλλοι ερευνητές ασφαλείας, όπως και η ίδια η ουκρανική κυβέρνηση, ωστόσο, δεν είναι ακόμη πλήρως πεπεισμένοι ότι η RomCom RAT και το Cuba Ransomware είναι στην πραγματικότητα ρωσικοί κυβερνητικοί χάκερ.

Ο Doel Santos, ανώτερος ερευνητής στο Palo Alto Networks’ Unit 42, είπε ότι η ομάδα πίσω από το κακόβουλο λογισμικό RomCom RAT είναι «πιο εξελιγμένη από τις παραδοσιακές ομάδες ransomware», για τη χρήση προσαρμοσμένων εργαλείων.

«Η μονάδα 42 είδε τη δραστηριότητα με στόχο την Ουκρανία. Υπάρχει μια οπτική γωνία κατασκοπείας με αυτό και εξαιτίας αυτού, θα μπορούσαν να λάβουν κατεύθυνση από ένα εθνικό κράτος», είπε ο Σάντος στο TechCrunch. «Ωστόσο, δεν γνωρίζουμε την έκταση αυτής της σχέσης. Ξεφεύγει από τις συνήθεις δραστηριότητες μιας ομάδας ransomware.”

Ωστόσο, πρόσθεσε ο Σάντος, «κάποιες ομάδες του φεγγαριού για να βρουν επιπλέον δουλειά — αυτό μπορεί να είναι αυτό που βλέπουμε σε αυτήν την περίπτωση».

Ο Bestuzhev είπε ότι αυτός και η ομάδα του έχουν εξετάσει αυτήν την πιθανότητα, αλλά την έχουν αποκλείσει με βάση την επιμονή των χάκερ, τον χρόνο και τους στόχους των επιθέσεων, που δείχνουν ότι ο πραγματικός τους στόχος είναι η κατασκοπεία και όχι το έγκλημα.

Εκπρόσωπος της Κρατική Ειδική Υπηρεσία Επικοινωνιών της Ουκρανίαςή SSSCIP, είπε ότι μία από τις δραστηριότητες της RomCom RAT στην Ουκρανία στόχευσε χρήστες ενός συγκεκριμένου λογισμικού επίγνωσης της κατάστασης που ονομάζεται DELTA και «σύμφωνα με τον στόχο και το χρησιμοποιούμενο κακόβουλο λογισμικό, μπορεί να υποτεθεί ότι ο στόχος ήταν η συλλογή πληροφοριών από τον στρατό της Ουκρανίας».

«Αλλά δεν υπάρχουν αρκετά στοιχεία για να το συνδέσουν με τη Ρωσία (εκτός από το γεγονός ότι η Ρωσία είναι η πιο ενδιαφέρουσα κυβέρνηση για τέτοιου είδους πληροφορίες)», πρόσθεσε ένας εκπρόσωπος του SSSCIP.

Ο Mark Karayan, εκπρόσωπος των ομάδων πληροφοριών απειλών της Google, που παρακολουθούσαν την ομάδα hacking, είπε ότι «η ομάδα μας δεν μπορεί να επιβεβαιώσει ή να διαψεύσει με σιγουριά αυτά τα ευρήματα χωρίς να δει [BlackBerry’s] πλήρης έρευνα.»

Ο Bestuzhev είπε ότι η ομάδα του δεν σκοπεύει να δημοσιεύσει όλες τις τεχνικές λεπτομέρειες των ευρημάτων τους, σε μια προσπάθεια να μην δείξουν το χέρι τους στους χάκερ της RomCom RAT και να τους εμποδίσει να αλλάξουν τις στρατηγικές και τις τεχνικές τους. Με αυτόν τον τρόπο, εξήγησε ο Bestuzhev, μπορούν να συνεχίσουν να παρακολουθούν τους χάκερ και να δουν τι κάνουν στη συνέχεια.

Η κριτική επιτροπή είναι ακόμα έξω για το ποιος βρίσκεται πραγματικά πίσω από τη RomCom RAT και την Cuba Ransomware, αλλά ο Bestuzhev και ερευνητές από άλλες εταιρείες θα συνεχίσουν να παρακολουθούν την ομάδα.

«Αυτά τα παιδιά, ας πούμε, ξέρουν ότι ξέρουμε. Αγαπιόμαστε. Και έτσι είναι σαν μια μακροχρόνια σχέση», είπε ο Μπεστούζεφ γελώντας.


Έχετε περισσότερες πληροφορίες σχετικά με αυτήν την ομάδα hacking; Ή άλλες ομάδες χάκερ που εμπλέκονται στον πόλεμο στην Ουκρανία; Θα θέλαμε να ακούσουμε νέα σας. Μπορείτε να επικοινωνήσετε με τον Lorenzo Franceschi-Bicchierai με ασφάλεια στο Signal στο +1 917 257 1382 ή μέσω Wickr, Telegram and Wire @lorenzofb ή μέσω email στο [email protected]. Μπορείτε επίσης να επικοινωνήσετε με το TechCrunch μέσω του SecureDrop.



techcrunch.com

Follow TechWar.gr on Google News

Απάντηση