Taggat med: rysk underrättelsetjänst

Så genomför rysk underrättelsetjänst cyberattacker

FBI DHS Cozy Bear

Amerikanska FBI har tillsammans med DHS släppt en publikation om hur IT-system kan skyddas mot cyberattacker från Ryska federationens underrättelsetjänst (SVR).

Rapporten tar upp den skadliga koden WELLMESS som använts för att stjäla information från företag som har med COVID-19 att göra. Bakom WellMess står grupperingen Blue Kitsune som även går under APT 29, Cozy Bear, Yttrium eller the Dukes som attribueras till rysk underrättelsetjänst.

Även påpekar man i rapporten att APT29 sedan 2018 fokuserar på att lågintensivt testa lösenord och angripa Office 365. Även tar man upp CVE-2019-19781 som då var en zero-day sårbarhet i Citrix NetScaler som använts för att ta sig in i nätverk.

Också intressant är att man nämner SolarWinds och hur modus operandi efterliknar SVR. Bland annat följande:

The FBI suspects the actors monitored IT staff to collect useful information about the victim networks, determine if victims had detected the intrusions, and evade eviction actions. 

Några av tipsen från DHS och FBI lyder enligt följande:

  • Granskning av loggfiler för att identifiera försök att få tillgång till certifikat och skapa falska identifieringsleverantörer.
  • Använd programvara för att identifiera misstänkt beteende på system, inklusive körning av kodad PowerShell.
  • Implementera klientmjukvara med möjlighet att övervaka beteendemässiga indikatorer på intrång.
  • Försök att identifiera autentiseringsmissbruk inom molnmiljöer.
  • Konfigurera autentiseringsmekanismer för att bekräfta vissa användaraktiviteter på system, inklusive registrering av nya enheter.

Intressant också att man nämner zero-trust och loggkorrelation som åtgärder som kan försvåra för ryska cyberangripare.

Rapporten går att ladda hem här i sin helhet (pdf):

Rysk statlig Android-trojan riktad mot ukrainska soldater

Amerikanska företaget CrowdStrike har tittat närmare på en Android-applikation som används av ukraniska soldater. Denna applikation underlättar hanteringen av kanonen 122 mm howitzer 2A18 (D-30) och beräknas ha 9000 användare.

Applikationen som går under namnet Попр-Д30.apk har utvecklats av en officerare inom den ukraniska militären. Nu har dock CrowdStrike upptäckt att APK:en innehåller FANCY BEAR X-Agent trojanen.

Aktören bakom FANCY BEAR-gruppen misstänks vara den ryska militära underrättelsetjänsten GRU (ГРУ).

Попр-Д30.apk md5: 6f7523d3019fa190499f327211e01fcb

Applikationen har ej funnits i Google Play-store och utvecklades mellan den 20 Februari och 13 April 2013.

Trojanen X-Agent som enbart används av FANCY BEAR även finns till iOS kan läsa av kontaktlistor, samtalshistorik, SMS samt internetdata. Även misstänks appen användas för att kartlägga truppförflyttningar och har troligtvis gett ryssland värdefull information vid annekteringen av Krim och Sevastopol.

Läs även: Appen som spelade en vital roll i det turkiska kuppförsöket

Skärmdump från appen:

Попр-Д30

Här kan du ladda hem rapporten om appen från CrowdStrike: