Кибер-война против НАТО: кто такие Earworm и APT28?

Кибер-война против НАТО: кто такие Earworm и APT28?
Существует группа кибер-преступников, которые реально затрудняют жизнь для НАТО. Группа под названием Earworm в течение последних нескольких лет занимается тем, что она умеет делать лучше всего: кибер-войной. В результате своей деятельности группа сумела украсть конфиденциальные данные в ряде серьезных учреждений и у правительств некоторых стран.
Кто такие Earworm ?
Имеющиеся сведения позволяют предполагать, что члены группы Earworm, известной также как Zebocracy, связаны с APT 28 (известной также как Fancy Bear ) – другой кибер-преступной группой, которая на протяжении многих лет осуществляет кражу сведений государственной важности в тех странах, которые рассматриваются ее членами в качестве врагов.
Министерство внутренней безопасности США и ФБР никогда не сомневались в том, что Earworm – это русские . В частности, они связывают эту группу с ГРУ (Главное разведывательное управление Министерства обороны РФ), СВР (Служба внешней разведки РФ) и ФСБ (Федеральная служба безопасности, наследница великого КГБ). Соединенные Штаты считают, что эти российские спецслужбы не только поддерживают Earworm и APT28, но и активно финансируют их деятельность.
Кого они атаковали?
Криминальное прошлое группы не такое длинное, но ее деятельность очень насыщенна и имеет далеко идущие планы. Впервые они проявили себя в 2016 году, когда сумели украсть конфиденциальную информацию из Национального комитета Демократической партии США (DNC) . Также они стоят за атакой на Всемирное антидопинговое агентство (WADA) , когда они смогли заполучить конфиденциальную информацию по ряду тестов на наркотики.

С тех пор деятельность группы преследует одну четкую цель: страны-члены НАТО, к системам которых они сумели заполучить доступ. Хотя СЩА являются одним из основных разоблачителей, голландское правительство также обвинило группу в краже информации у Международной организации по запрещению химического оружия (ОЗХО) со штаб-квартирой в Гааге. Национальный центр по информационной безопасности в Великобритании также обвинил Earworm и российские спецслужбы в осуществлении атак на институциональную информационную безопасность некоторых стран.

Как они это делают?
Точкой входа для кибер-атак Earworm является электронная почта. Они отправляли сотрудникам и руководителям интересующих организаций / правительственных учреждений электронные письма с вложениями, при этом выдавали себя за других личностей, которым получатели могли доверять. Как только получатели загружали вложенные файлы, в действие вступали две вредоносные утилиты:
  • Троян Zekapab . Это программное обеспечение устанавливалось на компьютер, после чего могло автоматически загружать другие вредоносные объекты.
  • Бэкдор Zekapab . Эта программа устанавливалась на компьютер жертвы, после чего могла делать скриншоты, запускать требуемые файлы и даже записывать нажатия клавиш, чтобы видеть все, что набирает пользователь на клавиатуре.
Помимо использования этих кибер-преступных техник, злоумышленникам удавалось в течение длительного периода времени оставаться в «полусонном» состоянии. Это позволяло им месяцами незаметно находиться в зараженных системах, не вызывая подозрений.

Как избежать таких атак
В 2019 году институциональная информационная безопасность стала одним из тех вопросов, который вызывает серьезную обеспокоенность во многих странах мира. Поэтому если любое государство не хочет столкнуться с теми проблемами, которые недавно наблюдались в Германии , то ему необходимо оперативно предпринимать меры безопасности.

1. Аутентификация. Самая распространенная тактика у кибер-преступников – это выдавать себя за высокопоставленного сотрудника той организации или учреждения, которое они пытаются атаковать. Такие учреждения должны защищать аутентификацию всех своих сотрудников и руководителей во избежание подобной кражи их «онлайн-личности».

2. Осведомленность и электронная почта. Сотрудники любой организации или учреждения, которому может угрожать опасность, должны знать, насколько важно соблюдать бдительность. Это означает, что нельзя доверять электронным письмам , которые имеют хотя бы малейшую подозрительность или содержат сомнительные вложения. Кроме того, если возникнет какая-либо проблема, они должны информировать об этом свое руководство, чтобы оперативно остановить кибер-атаку или, по крайней мере, свести ущерб от нее к минимуму.

3. Мониторинг. Независимо от того, насколько скрытны злоумышленники, если они проникают в ИТ-систему, то, как правило, они оставляют свои «следы», особенно, если кража проводится стремительно. По этой причине организации должны иметь самые современные решения информационной безопасности с опциями расширенной защиты. Одним из  таких решений является Panda Adaptive Defense , который проактивно и автоматически осуществляет мониторинг всех процессов, запущенных в системе. Если существует любая причина для тревоги, решение в реальном времени срабатывает должным образом во избежание проблем.

4. Изолированная информация. Там, где это возможно, самая чувствительная и конфиденциальная информация должна храниться в системах, которые не имеют подключения к Интернету. Однако, как мы видели, даже этой меры может быть недостаточно: можно взломать устройство, которое не подключено к Интернету и к которому нет физического доступа со стороны кибер-преступников, при использовании электромагнитных излучений . Если же невозможно полностью изолировать системы от Интернета, то такая информация, по крайней мере, должна храниться в распределенном виде на разных серверах.

Возможны ситуации, когда реагирование происходит слишком медленно: кибер-атака уже прошла и мало что можно сделать. Существует реальная опасность того, что нечто подобное может случиться в любой стране, а это означает, что правительственные учреждения и организации должны быть бдительными и активно бороться в условиях кибер-войны – это единственный способ избежать серьезных последствий кибер-атаки.


Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
B2B кибер-война
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!

Облачные решения

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.