Rosyjscy hakerzy penetrowali nasze systemy przez 7 lat!

Rosyjscy hakerzy penetrowali nasze systemy przez 7 lat!

Diukowie prowadzili swoje działania na terenie Europy przynajmniej od 2008 r. Poza Polską, ataki skierowane były m.in. na instytucje publiczne w Czechach, na Ukrainie, w Gruzji, Kazachstanie, Kirgistanie, Azerbejdżanie i Uzbekistanie, a także indywidualne osoby przebywające na Węgrzech, w Belgii, Luksemburgu oraz Hiszpanii.

Działania hakerów były nastawione na gromadzenie danych dotyczących polityki zagranicznej oraz obronnej wybranych państw. Do ich celów należały takie organizacje, jak ministerstwa spraw zagranicznych, ministerstwa obrony, ambasady, parlamenty, kontrahenci wojskowi oraz think tanki.

Ataki były realizowane metodą “rozbij i łap”, która polega na szybkim, choć hałaśliwym włamaniu, po którym następuje gromadzenie i wydobywanie jak największej ilości danych. Jeśli okazało się, że zaatakowany cel był wartościowy, Diukowie szybko zmieniali pakiet narzędzi i przechodzili na bardziej dyskretną taktykę, skupiając się na trwałym dostępie i długofalowym gromadzeniu informacji.

W ramach operacji wykorzystywano m.in. specjalnie spreparowane, złośliwe dokumenty Worda i PDF, które wysyłano jako załączniki e-mail w celu zinfiltrowania wybranych organizacji. Oprogramowanie szpiegujące automatycznie rozpoczynało proces instalacji w momencie otwarciu plików. Treść przesyłanych dokumentów nawiązywała do ważnych, bieżących wydarzeń społecznych i politycznych, takich jak np. kryzys ukraiński, co zwiększało prawdopodobieństwo otwarcia, a tym samym skuteczność ataku.

Zdaniem ekspertów F-Secure Diukowie to najprawdopodobniej rosyjska grupa cyberszpiegowska, sponsorowana przez państwo. Z analiz sposobu działania oraz skali prowadzonych ataków wynika, że hakerzy posiadają rozbudowaną strukturę oraz mają zapewniony dostęp do stabilnych źródeł finansowania.

Cechą charakterystyczną organizacji jest także wyraźne lekceważenie informacji demaskujących część ich operacji. Zdaniem analityków F-Secure sugeruje to, że beneficjenci Diuków są tak wpływowi i tak ściśle powiązani z grupą, że hakerzy mogą działać bez obaw o ewentualne reperkusje. W ich opinii jednym beneficjentem mogącym zaoferować tak kompleksową ochronę jest rząd państwa, w którym operuje grupa.

Pomimo, że analitycy F-Secure nie mogą jednoznacznie przypisać żadnemu krajowi odpowiedzialności za działania Diuków, wszystkie dostępne poszlaki sugerują, że grupa operuje w imieniu Federacji Rosyjskiej. Co więcej, nie są obecnie znane żadne fakty, które podważałyby tę teorię.

Ponadto, analizy znaczników czasowych kompilacji wskazują, że twórcy złośliwego oprogramowania Duke pracują głównie od poniedziałku do piątku między 6.00 a 16.00 czasu UTC+0. Odpowiada to godzinom pracy od 9.00 do 17.00 w strefie czasowej UTC+3, znanej też jako Moskiewski Czas Standardowy, która obejmuje m.in. większą część zachodniej Rosji, w tym Moskwę i Sankt Petersburg.

Analitycy F-Secure zwrócili również uwagę, iż pomimo, że Diukowie brali dotychczas na cel instytucje państwowe z całego świata, nigdy nie odnotowano ataków na podmioty związane z rządem rosyjskim.

Dodatkowe informacje na temat działalności grupy Diuków można znaleźć w dokumencie F-Secure Labs “The Dukes, 7 years of Russian Cyberspionage” dostępnym tutaj.