Kои са Earworm и APT28?

Kои са Earworm и APT28?
Earworm APT28

Има група киберпрестъпници, които наистина правят нещата трудно за НАТО. Групата се нарича Earworm и през последните няколко години прави това, което прави най-добре: кибер войната. Тази практика означава, че групата е успяла да открадне конфиденциални, чувствителни данни от няколко от най-важните институции и правителства в света.

Кои са Earworm?

Доказателствата показват, че членовете на Earworm, известен също като Zebocracy, са свързани с APT28 (известен също като Fancy Bear), група за престъпления в кибернетичното пространство, която от години краде разузнавателна информация на правителството, особено от страни, които счита за врагове.

Американското министерство на вътрешната сигурност и ФБР никога не са имали съмнения: за тях Earworm е руснак. По-конкретно, те го свързват с ГРУ (военна разузнавателна служба), СВР (Службата за външно разузнаване) и ФСБ (наследник на стария КГБ). САЩ смятат, че тези руски разузнавателни групи не само насърчават Earworm и APT28, но и активно финансират своите операции.

На кого са нападнали?

Криминалните данни на групата не се връщат много назад, но са интензивни и всеобхватни. Те за пръв път излязоха на светло през 2016 г., когато успяха да откраднат чувствителна информация от Националния комитет на демократите в САЩ (DNC). Те също бяха зад нападението срещу Световната антидопингова агенция (WADA), в която те изтеглиха поверителна информация за няколко теста за наркотици.

Неговата дейност оттогава имаше една ясна цел: страните-членки на НАТО, чиито системи са успели да получат достъп. Докато Съединените щати са един от основните лица, които сигнализират за нарушения, холандското правителство също обвини групата в кражба на информация от Организацията за забрана на химическите оръжия (ОЗХО) в Хага. Националният център за киберсигурност на Обединеното кралство също обвини интелигентността на Earworm и Русия в извършването на атаки срещу институционалната киберсигурност на няколко страни.

Как го правят?

Входната точка за кибернетичните атаки на Earworm е електронна поща. Електронните писма, съдържащи прикачени файлове, бяха изпратени на служители и старши членове на тези организации, като подателите се представяли за някой, който е надежден. След като тези файлове са били изтеглени, влезе в игра два инструмента за малуер.

Zekapab. Този софтуер беше инсталиран на компютъра и успя да изтегли автоматично други зловредни програми.
Zekapab. В този случай програмата е инсталирана на системата на жертвата и е в състояние да прави снимки на екрани, да стартира независими файлове и дори да записва клавиши, за да може да вижда всичко, което е писал компютърният потребител.
Освен тези киберкриминални техники, нападателите успяват да прекарват дълги периоди от време в „полу-спящо“ състояние. Това им позволява да останат на заразените системи в продължение на месеци, без да бъдат открити или да предизвикат подозрение.

Как да избегнем тези атаки

През 2019 г. институционалната киберсигурност е един от въпросите, който предизвиква най-голяма загриженост в страните по света; ако не искат да изпитат проблеми като тези, на които Германия се е занимавала наскоро, те трябва бързо да предприемат мерки.

1.- Удостоверяване. Много често срещана тактика за киберпрестъпниците е да се представят за някой високо в компанията, в която се опитват да атакуват. Тези институции трябва да защитават автентичността на всички свои служители и висши служители, за да се избегне подобна кражба на самоличност.

2.- Информираност и електронна поща. Служителите от всяка институция, която може да е в опасност, трябва да бъдат информирани колко важно е да бъдат бдителни. Това означава, че не се доверявате на имейли, които изглеждат подозрителни, или които съдържат съмнителни прикачени файлове. Освен това, ако възникне някакъв проблем, те трябва да информират началниците си, така че кибератаката да може да бъде спряна или поне да бъде сведена до минимум.

3.- Мониторинг. Колкото и да са невидими, когато някой се впусне в ИТ система, те обикновено оставят следа, особено ако кражбата се извършва бързо. Поради тази причина институциите трябва да разполагат с усъвършенствани решения за киберсигурност. Едно такова решение е Panda Adaptive Defense, която проактивно и автоматично следи всички процеси, които се изпълняват в системата. Ако има някаква причина за аларма, тя създава сигнали в реално време, за да се избегнат проблеми.

4.- Изолирана информация. Когато е възможно, най-чувствителната и поверителна информация на институцията трябва да се съхранява в системи без интернет връзка. Както видяхме обаче, дори тази мярка може да е недостатъчна; възможно е да хакнете устройство, което не е свързано с интернет и за което нямаме физически достъп, използвайки електромагнитни излъчвания. Ако това не е възможно, тази информация трябва поне да се съхранява на различни сървъри до тези, в които се съхраняват лесно достъпни данни.

Възможно е реакциите да са твърде бавни; когато вече е извършена кибератака и не може да се направи много. Налице е реален риск, че нещо подобно може да се случи във всяка страна, което означава, че правителствата и институциите трябва да бъдат бдителни и активни в борбата си в кибервоенната среда. Това е единственият начин да се избегнат тежките последствия от кибератака върху такива важни институции като НАТО.

Източник: Panda Media Center

За Panda Security

Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).

Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.

За допълнителна информация:

Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08

Сподели в:

Категории:

Следвай ни в: