En varning om att oidentifierade hackare bröt sig in i en amerikansk federal myndighet och stal dess data är oroande nog. Men det blir desto mer oroande när de oidentifierade inkräktarna kan identifieras och sannolikt verkar vara en del av en ökänt team av cyberspioner som arbetar åt Rysslands militära underrättelsetjänst, GRU.
Förra veckan publicerade Cybersecurity and Infrastructure Security Agency (CISA) en varning om att hackare hade trängt in i en amerikansk federal myndighet. Den identifierade varken angriparna eller myndigheten, men detaljerade hackarnas metoder och deras användning av en ny och unik form av skadlig kod i en operation som framgångsrikt stal data. Nu indikerar ledtrådar som upptäckts av en forskare på cybersäkerhetsföretaget Dragos och en FBI-notis om hackning som tidningen WIRED har kommit över i juli ett troligt svar på mysteriet om vem som låg bakom intrånget: Det verkar vara Fancy Bear, ett team av hackare som arbetar för Rysslands GRU. Gruppen är även känd som APT28 och har varit ansvarig för allt från hackningar-och läckor som riktade sig mot 2016 års amerikanska presidentval till en bred mängd av försök till intrång riktade mot politiska partier, konsultföretag och valkampanjer i år.
Ledtrådarna som pekar på APT28 är delvis baserade på en notis som FBI skickade till mål för en hackingkampanj i maj i år, som WIRED har kommit över. Notisen varnade för att APT28 i stort sett var inriktade mot amerikanska nätverk, inklusive myndigheter och utbildningsinstitutioner, och listade flera IP-adresser som de använde i sin verksamhet. Dragos-forskaren Joe Slowik märkte att en IP-adress som tillhör en server i Ungern och som användes i den APT28-kampanjen matchade en IP-adress som listades i CISA:s varning. Det skulle antyda att APT28 använde samma ungerska server för det intrång som beskrivs av CISA och att minst ett av de intrångsförsök som beskrivs av FBI var framgångsrikt.
”Baserat på matchande infrastruktur, en serie beteenden i samband med händelsen, och den allmänna tidpunkten och inriktningen mot den amerikanska regeringen, verkar detta vara något mycket likt – om inte en del av – kampanjen som kopplats till APT28 tidigare i år” säger Slowik, tidigare chef för Los Alamos National Labs Computer Emergency Response Team.
Bortsett från FBI-notisen, hittade Slowik också en andra förbindelse gällande infrastruktur. En rapport förra året från Department of Energy (DOE) varnade för att APT28 hade sonderat en amerikansk regeringsorganisations nätverk från en server i Lettland och uppgav serverns IP-adress. Den lettiska IP-adressen återkom också i hackningsoperationen som beskrevs i CISA:s varning. Tillsammans skapar de matchande IP-adresserna ett nät av infrastruktur som binder samman händelserna. ”Det finns en full överlappningar i de två fallen”, säger Slowik.
Förvirrande nog verkar några av de IP-adresser som anges i FBI:s, DOE:s och CISA:s dokument också överlappa med kända cyberbrottslingars verksamhet, noterar Slowik, som ryska bedrägeriforum och servrar som används för banktrojaner. Men han menar att det innebär att Rysslands statsstödda hackare med största sannolikhet använder cyberkriminell infrastruktur, kanske för att kunna avvisa anklagelser.
Även om det inte specifikt namnger APT28, så klargör CISA:s varning steg för steg hur hackarna har genomfört sitt intrång i en oidentifierad federal myndighet. Hackarna hade på något sätt fått fungerande användarnamn och lösenord för flera anställda, som de använde för att få tillträde till nätverket. CISA medger att det inte vet hur hackarna kom över dessa uppgifter, men dokumentet spekulerar i att angriparna kan ha använt en känd sårbarhet i Pulse Secure VPN som CISA säger har utnyttjats i stor utsträckning av hela den federala regeringen.
Inkräktarna använde sedan kommandoradsverktyg för att navigera mellan myndighetens servrar, innan de laddade ner en snutt skadlig kod. De använde sedan koden för att komma åt byråns filserver och ladda ner filer till de datorer som hackarna kontrollerade och sedan komprimera dem till .zip-filer de lättare kunde stjäla.
Även om CISA inte har delat med sig av koden i hackarnas trojan till forskare, säger säkerhetsforskaren Costin Raiu att attributen för koden stämde med en annan kod som har laddats upp till virusforskningsdatabasen VirusTotal från någonstans i Förenade Arabemiraten. Genom att analysera denna kod fann Raiu att det verkar vara en unik skapelse byggd från en kombination av de vanliga hackningsverktygen Meterpreter och Kobolt Strike, men utan uppenbara länkar till kända hackare, och dolda med flera lager av kryptering. ”Det elementet gör det ganska intressant”, säger Raiu, som är chef för Kasperskys globala forsknings- och analysteam. ”Det är ganska ovanligt och sällsynt i den meningen att vi inte kunde hitta något samband med något annat.”
Även bortsett från deras inbrott 2016 i den Demokratiska nationella kommittén och Clinton-kampanjen, så väger hotet från Rysslands APT28-hackare tungt över det amerikanska presidentvalet 2020. Tidigare denna månad varnade Microsoft för att gruppen har genomfört storskaliga, relativt enkla attacker för att bryta sig in i valrelaterade organisationer och kampanjer för båda politiska lägren. Enligt Microsoft har gruppen använt en kombination av lösenordsbesprutning, som försöker med ett gemensamt, ofta använt lösenord hos många användare och ”brute-force-attacker” där man testar många lösenord mot ett enda användarkonto.
Men om APT28 verkligen är den hackergrupp som beskrivs i CISA:s varning är det en påminnelse om att de också är kapabla till mer sofistikerade och riktade spionerioperationer, säger John Hultquist, chef för underrättelsetjänsten på säkerhetsföretaget FireEye. ”De är en formidabel motståndare och de kan fortfarande göra intrång i känsliga områden”, säger Hultquist.
APT28 har en lång historia av spionageoperationer som har riktat sig mot USA, Nato och östeuropeiska regeringar och militära mål redan innan dess hackningsoperationer de senaste åren. CISA:s varning, tillsammans med DOE:s och FBI:s uppgifter om APT28-relaterade hackningskampanjer, tyder alla på att deras spioneriverksamhet fortsätter än idag.
”Det är verkligen inte förvånande att den ryska underrättelsetjänsten skulle försöka penetrera den amerikanska regeringen. Det är ungefär deras jobb”, säger Slowik. ”Men det är värdefullt att identifiera att sådan verksamhet inte bara fortsätter, den har varit framgångsrik.”