Lubos Chlubny – Stock.Adobe.com
Usred nove kolu sankcija vlade u Velikoj Britaniji ciljanje inteligencijske aparata Moskve, NCSC je formalno pripisao napade orkestriranim sa pametno dizajniranim zlonamjernim softverom za Cyber jedinicu Gru-a
Od
- Alex Scroxton,Sigurnosni urednik
Objavljeno: 18. jul 2025. 21:50
Nacionalni Cyber sigurnosni centar (NCSC) izdao je formalnu obavijest koja pripisuje seriju neprijateljskih cyber napada koristeći raznolikost zlonamjernog softvera nazvanom autentičnom antiku na rusko-državnu vlast udruženu upornu ponudu (APT) Grupni medvjed.
Autentična antika dizajnirana je za krađu vjerodajnica za prijavu i tokene za svoje žrtve e-poštom račune, omogućavajući ruski cyber špijuni da uspostave dugoročni pristup svojim nadzornim ciljevima.
Fancy Bear, koji prolazi APT28 u nekim matricama prijetnji, djeluje kao dio 85th Glavni specijalni servisni centar, vojna jedinica 26165, a u konačnici odgovori na Gru, agenciju za nasljednika KGB hladne ratne legende.
“Upotreba autentičnog antičkog zlonamjernog softvera pokazuje upornost i sofisticiranost cyber prijetnje koja predstavlja Ruska Gru”, rekao je direktor operacija NCSC-a Paul Chichester.
“NCSC istrage GRU aktivnosti tokom mnogih godina pokazuju da branitelji mreže ne bi trebali preuzeti ovu prijetnju za dodelu i da je praćenje i zaštitna radnja ključna za odbranu sistema.
“Nastavićemo da pozovemo ruske zlonamjerne cyber aktivnosti i snažno potičemo mrežni branitelji da slijede savet koji su dostupni na web stranici NCSC”, rekao je Chichester.
Rad sa NCC grupom, koji je pružio uzorke autentičnog antika, NCSC-ovi stručnjaci proveli su duga analizu zlonamjernog softvera – ovo se može čitati u potpunosti – što se sastoji od svakodnevne, legitimne aktivnosti za omogućavanje trajnog pristupa Endpoint-u Microsoft Cloud računima.
Malware se široko koristi od oko 2023. godine, a radi u okviru Microsoft Outlook procesa na kojem se prikazuje zlonamjerna prijava za njegovu metu kako bi ih unijeli u unos svojih vjerodajnica, koji su presretnuli s OAUG-om 2.0 Tokeni za autentifikaciju za različite aplikacije, koji uključuju razmjenu putem interneta, SharePoint i OneDrive.
NCSC je rekao da je bio pametno dizajniran da iskorištavaju rastuću poznanstvo među krajnjim korisnicima s originalnim Microsoftovim propisima za provjeru autentičnosti, uključujući generiranje uputa iz programa Outlook procesa i osiguravajući da se ne prikazuju prečesto.
Autentična antika ne komunicira s bilo kojom naredbom i kontrolom (C2) infrastrukturom i ne može primati dodatne zadatke. Govori samo na legitimne usluge, što znači da je, kada je to aktivno odabrati – na primjer, e-poštu e-poštu sa kompromitiranim računom kontrolira e-poštu, a ne prikazuju se u mapi poslanih e-pošte – ove poslane e-pošte ne pojavljuju se u mapi poslanih predmeta žrtve.
Agencija je rekla da je “značajna misao” otišla u autentični antički dizajn kako bi se osiguralo da se stapa sa normalnom aktivnošću. Između ostalog, njegovo prisustvo na disku je ograničeno, pohranjuje podatke na lokalitetima registra specifične za Outlook, a njegova Kodna baza uključuje originalnu Microsoftovu biblioteku za provjeru autentičnosti kao metodu za obradu.
“Jasno je da je namjera zlonamjerni softvera dobiti uporni pristup računima e-pošte žrtve. Ovo naglašava korist od nadgledanja vašeg stanara za sumnjive prijave”, rekao je Analitičari NCSC-a.
Sankcije
Atribucija dolazi zajedno sa najavom šire sankcije protiv tri GRU jedinice – uključujući jedinicu 26165 – i 18 službenika i agenata koji navodno pokreću operacije smetnjama i vojnim ciljevima Rusije.
Među sankcionisanim su vojni službenici Gru koji su ciljali i sastavljali uređaj Yulia Skripal, kćeri dvostrukog agenta Sergei Skripal, prije zloglasnog pokušaja u Novinichoku protiv njih u 2018. godini koji su tvrdili život britanskog nacionalnog, zore Sturgus.
“Gru Špijuni vode kampanju za destabilizaciju Evrope, potkopavanje suvereniteta Ukrajine i prijeti sigurnost britanskih građana”, rekao je vanjski sekretar David Lammy.
“Kremlj bi trebao biti u bez sumnje: vidimo šta pokušavaju učiniti u sjeni i nećemo to tolerirati. Zato vodimo odlučujuću akciju sa sankcijama protiv ruskih špijuna.
Govoreći u podršci akcijama Velike Britanije, portparol NATO-a osudio je tekuće zlonamjerne cyber aktivnosti, primjećujući druge atribucije da se natjecaju na fantastičnu medvjed, što je ranije ove godine za ciljanje zapadne logistike i tehnoloških organizacija uključenih u podršku u Ukrajini.
“Pozivamo Rusiju da zaustavi svoje destabilizirajuće cyber i hibridne aktivnosti. Te aktivnosti pokazuju da se Rusija ne zanemari za okvir Ujedinjenih nacija za odgovorno državno ponašanje u cyber prostoru, što Rusija tvrdi da podržava.
“Ruske akcije neće odvratiti podršku saveznicima Ukrajini, uključujući cyber pomoć kroz tallinn mehanizam i koaliciju za sposobnost IT. Nastavit ćemo koristiti lekcije naučene iz rata protiv Ukrajine u suzbijanju ruske zlonamjerne cyber aktivnosti.”
Pročitajte više o hakerima i prevenciji cyberfime-a
-
Moskva iskorištava sedmogodišnja Cisco Flaw, kaže FBI
Napisao: Alex Scroxton
-
NCSC: Ruska fantastična medvjeda ciljana logistika, tehničke organizacije
Napisao: Alex Scroxton
-
Ruski prijetnji glumci spremni su za oblikovanje elektroenergetske mreže, UK upozorava
Napisao: Alex Scroxton
-
NCSC i saveznici pozivaju rusku jedinicu 29155 nad Cyber Warfareom
Napisao: Alex Scroxton