Στους hackers APT 29 ή αλλιώς Cozybears καταλήγουν οι ερευνητές των παραβιάσεων στους servers και τα pc του Democratic National Commitee, που πρακτικά συνεπάγεται ότι είναι οι ίδιοι που μπήκαν στα δημόσια emails των αρχηγών του γενικού επιτελείου (Joint Chiefs) στο αμερικανικό Πεντάγωνο το 2014.
Αν και οι εταιρίες που έχουν διευρευνήσει τα συμβάντα και οι αμερικανικές μυστικές υπηρεσίες υποστηρίζουν ότι οι συγκεκριμένοι hackers δουλεύουν για την κυβέρνηση της Ρωσίας, εν τούτοις το Κρεμλίνο αρνείται κάθε αναφορά.
Σύμφωνα με τους ειδικούς της Crowdstrike οι Ρώσοι hackers δεν εργάζονται τις ρώσικες αργίες, ενώ από την καταγραφή της δραστηριότητάς του παρατηρείται ότι εργάζονται στις ώρες γραφείου της Μόσχας (UTC+3).
Οι αναλυτές εντόπισαν στα αρχεία του DNC malware τύπου RAT (Remote Access Tool) εξελιγμένης μορφής το οποίο αναγνωρίζει τα antiviruses και τα antimalware προγράμματα και προσαρμόζεται αλγοριθμικά ώστε να μένει απαρατήρητο.
Τα στοιχεία αυτά αποκαλύπτει και αναλύει διεξοδικά στο blog της εταιρίας ο επικεφαλής ερευνητής της Crowdstrike, Dimitri Alperovic, που ανέλαβε για λογαριασμό των Δημοκρατικών να καθαρίσει τα pc και τους servers.
Το 2014 οι APT29 χρησιμοποίησαν backdoor malware το λεγόμενο dubbed HAMMERTOSS, το οποίο εκγατστάθηκε στα PC του Γενικού Επιτελίου μέσω email και εν συνεχεία άρχισε να κινείται μέσω του active directory των windows στο δίκτυο των υπολογιστών, που ήταν κάτω από Windows Servers.
Το malware προκειμένου να παραμένει αθέατο δημιουργούσε αυτόματα σελίδες στο twitter μέσα από τις οποίες οι hackers ρύθμιζαν το πρόγραμμα για το πότε και με ποια πρωτόκολλα θα αποστέλλει δεδομένα.
Η εταιρία ασφάλειας πληροφοριακών συστημάτων FiveEye αναλύοντας το νέο λογισμικό malware των APT29 κατέληξε στο συμπέρασμα ότι η νέα έκδοση του HAMMERTOSS συγκέντρωσε ενημερώσεις από τις προηγούμενες και εμπλουτισμένη database προγραμάτων firewall και antivirus ώστε να μπορέσει να λειτουργεί στο παρασκήνιο χωρίς να προκαλεί υποψίες και να πυροδοτεί τα αντανακλαστικά.
Η FiveEye αρνήθηκε να δώσει περισσότερες πληροφορίες για το λογισμικό που χρησιμοποίησαν οι Ρώσοι καθώς και το εύρος της παραβίασης των υπολογιστικών συστημάτων του Πενταγώνου, επιλαλούμενη το απόρρητο των στοιχείων.
Ωστόσο οι ειδικοί των εταιριών που ασχολούνται με τον εντοπισμό και την αντιμετώπιση των malwares συστήνουν πολύ σφιχτά συστήματα ασφαλείας με ηλεκτρονικές υπογραφές στα mail και scanning κάθε τερματικού σταθμού από τον server με βάσει το πρώτο αντίγραφο των αρχείων συστήματος και με βάσει τα temp files που παράγονται από μια λογική περιήγηση.
Με αυτό τον τρόπο ο συναγερμός μπορεί να ενεργοποιηθεί γρηγορότερα. Από την άλλη πλευρά θα υπάρχει αυξημένο κόστος και σπατάλη χρόνου καθώς είναι πολύ πιθανό τα προγράμματα να καταστούν υπερευαίσθητα.
Στα emails συστήνουν end-to-end encryption και ηλεκτρινικές υπογραφές ώστε να περιοριστεί το spamming και το phissing στους εταιρικούς servers.
