Cyberbezpieczeństwo
Rosyjscy hakerzy wykorzystują tunele Cloudflare
Grupa powiązana z Rosją prowadzi ataki na ukraińskie organizacje przy wykorzystaniu usług znanej firmy z branży cyberbezpieczeństwa. Eksperci ujawnili ich sposób działania.
Eksperci Insikt Group przeanalizowali kampanię wymierzoną w Ukrainę, za którą stroi BlueAlpha sponsorowana przez państwo. Z ich analizy wynika, że członkowie grupy działają na podstawie dyrektywy rosyjskiego FSB. Ataki mają się pokrywać z dotychczasową aktywnością znanych podmiotów APT, jak m.in. Gamaredon czy Hive0051.
Czytaj też
Grupa do atakowania Ukrainy
Według specjalistów, BlueAlpha działa od minimum 2014 r. i prowadzi ataki wymierzone w ukraińskie organizacje. Wykorzystuje spear phishing w celu dystrybucji niestandardowego złośliwego oprogramowania.
Przykładem może być VBScript GammaLoad, przeznaczony do kradzieży danych, w tym uwierzytelniających, oraz zbudowania stałego dostępu do zainfekowanej infrastruktury. Hakerzy grupy używają go od co najmniej października ubiegłego roku.
Czytaj też
Legalna usługa używana przez hakerów
Teraz eksperci Insikt Group odkryli, że BlueAlpha wykorzystuje usługi tunelowania Cloudflare do infekowania celów oprogramowaniem GammaDrop (działa jako dropper GammaLoad, który z kolei może uruchamiać dodatkowe złośliwe oprogramowanie).
Mowa o użyciu narzędzia TryCloudflare, które jest ogólnodostępne (za jego pomocą każdy użytkownik może stworzyć tunel). Powiązani z Rosją hakerzy sięgają po tę usługę, aby ukryć infrastrukturę używaną do infekowania GammaDropem.
Powyższy schemat działania BlueAlpha pokazuje, w jaki sposób grupy APT posługują się legalnymi rozwiązaniami znanych firm do prowadzenia wrogich kampanii w sieci.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].