- Сводка анализа Recorded Future собирает информацию об угрозах в Cyber Berkut уже более года, поскольку...
- Нажмите на изображение для увеличения
- Российская связь
- Покрытые треки на целях и распределении инструмента
- Нажмите на изображение для увеличения
- Заключение
Сводка анализа - Recorded Future собирает информацию об угрозах в Cyber Berkut уже более года, поскольку группа перешла от внедрения сырой DDoS к распространению проприетарных инструментов кибератак и высокоуровневых утечек.
- Временной анализ показывает, что группа хорошо скоординированных хактивистов, которые были активными в цифровом отношении с первых нескольких дней боевых действий в Украине.
- В группу просочились документы из нескольких украинских правительственных учреждений, включая предполагаемые планы западного вмешательства в конфликт.
- Анализ зарегистрированного будущего позволил определить темный веб-сайт, связанный с Cyber Berkut, доступный по состоянию на конец мая 2015 года.
- Cyber Berkut остается активным в нескольких доменах и эффективен в своих усилиях по пропаганде в Интернете, причем вероятность кибератак на западные и украинские цели, вероятно, продолжится.
Записано будущее собрал разведка угроз о хакерской деятельности Cyber Berkut в течение более года, совпавшей с первым месяцем наземных боевых действий в Украине, когда группа начала координировать кибератаки. В данной статье представлен временной и технический анализ этих мероприятий, основанный на интеллект с открытым исходным кодом (OSINT) из Интернета , Присвоив название и логотип украинским спецназу, группа объявила себя пророссийской, антиукраинской и совсем недавно атаковала попытки Запада вмешаться в украинский конфликт. В то время как группа взяла украинские идентичности, технические связи и контекстный анализ связывают группу с Россией.
Группа начала с успешных распределенных атак типа «отказ в обслуживании» (DDoS) на нескольких Веб-сайты НАТО как только сепаратисты в физическом мире начали штурмовать военные постройки , После их первоначальных атак группа продолжала срывать веб-сайты, а в последнее время просочились конфиденциальные документы между миллиардером США Джорджем Соросом и украинским премьер-министром и президентом, в которых содержались планы по вмешательству Запада.
Нажмите на изображение для увеличения
Приведенное выше изображение временной шкалы показывает полный год активности Cyber Berkut, от их первоначальных DDoS-атак до распространения средств атаки и последующих громких утечек. Группа также якобы активно занималась взломом физического домена, о чем свидетельствуют многочисленные видео, демонстрирующие взломанные рекламные щиты в украинской столице Киеве, демонстрирующие антиукраинские пропагандистские изображения «военных преступлений».
«Записанное будущее» изначально предупредил о последних утечках в течение нескольких часов, указав Cyber Berkut в качестве главного субъекта угрозы. Следующий вид панели инструментов - это снимок Recorded Future Cyber, сделанный во время атаки Cyber Berkut. Каждая точка данных собирается и организуется с помощью технологии Recorded Future и представляет страну или организацию-спонсора, о которой сообщалось в Интернете как о злоумышленнике или субъекте угрозы.
Разобравшись с недавней активностью, начальная болтовня вокруг атаки была сосредоточена на социальных сетях, где различные пользователи начали делиться утечкой документов. Ссылки указывали прямо на веб-сайт Cyber Berkut, где размещались документы.
Нажмите на изображение для увеличения
Документы, размещенные на сайте Cyber Berkut, представляются оригинальными документами, включая «конфиденциальные» водяные знаки на стратегических планах военной помощи. Ни правительство США, ни Фонд Сороса не прокомментировали действительность документов. Группа утверждала, что документы показали, что настоящие «владельцы украинского режима» следуют своей стандартной процедуре пропаганды документов в соответствии с антизападным, пророссийским нарративом.
Российская связь
Обращаясь к собственному сайту группы для анализа, хорошей отправной точкой является их регистрационная информация. Поиск в WHOIS показывает, что группа первоначально создала домен в первые несколько дней борьбы в марте 2014 года. Сайт зарегистрирован с использованием частного фронта, что затрудняет атрибуцию, но временная информация показывает, что группа быстро установила присутствие в Интернете. поскольку скоординированное насилие только начинало происходить в автономном режиме.
Подтверждая российскую связь, группа размещает клоны своего сайта в доменах .ru и .net. Поиск WHOIS для обоих сайтов показывает, что .net был создан через два месяца после оригинального сайта, а русский сайт - через четыре месяца после.
Хотя группа имеет четкие технические связи с Россией, контекстуальные доказательства их манифестов и пропагандистских постов дают дополнительную информацию. Со своих первых постов группа публиковала сообщения на русском языке, а не на украинском, и они продолжали копировать общие русские пропагандистские взгляды в своих характеристиках врага. Например, в последнее время в мейнстриме освещаются российские «тролли», проводящие информационные операции онлайн для правительства, враги обычно ассоциируются с фашизмом и нацизмом , Cyber Berkut распространяет эти взгляды по многим своим постам, причем некоторые явно пытаются связать фашистскую симпатию с просочившимися документами и заявлениями.
Вверху: заявления Кибер-Беркута, повторяющие заявления российской пропаганды о фашизме.
Покрытые треки на целях и распределении инструмента
В последние месяцы группа Cyber Berkut также удалила два компонента своего сайта. Одной из них была страница «Армия», используемая для привлечения краудсорсинга благодаря обещанию специального «кибер-оружия», разработанного для сайтов, нацеленных на DDoS. Инструмент был выпущен для Windows и Linux, и, несмотря на удаление страниц, ссылки для загрузки обоих инструментов остаются в живых. Ссылка Windows на сайте требовала «новой» версии, указывая на то, что группа доработала инструмент.
Вверху: ныне несуществующая страница «CyberArmy» с переведенным призывом к действию и загрузкой инструментов.
При проверке с помощью VirusTotal данные с метками времени указывали, что файлы Linux и Windows были первоначально проверены в мае 2014 года и не проверялись в течение почти года. В настоящее время ни одна антивирусная компания не помечает файлы как вредоносные. Учитывая, что многие инструменты DDoS для хактивистов часто помечаются, это указывает на то, что группа, возможно, действительно разработала инструмент или с такой же вероятностью предприняла шаг, чтобы перепаковать его, чтобы пройти антивирусную защиту.
Выше: результаты VirusTotal для инструментов атаки Linux и Windows.
Инструменты включают в себя копию Python, Tor и проприетарный инструмент с инструкциями по использованию. Группа использует Tor, чтобы скрыть соединения с «центром управления», и они подчеркивают, что это не является вредоносным для пользователей, поскольку они могут просматривать источник в любое время. Папка также содержит примечание «имя хоста» со ссылкой на сайт Onion в даркнете: epwokus5rkeekoyh.onion. Пока сайт был недоступен на момент публикации, исторический поиск в «Записанном будущем» показывает, что сайт был доступен по состоянию на конец мая 2015 года.
Нажмите на изображение для увеличения
Вверху: Зарегистрированные будущие результаты, показывающие, что темный веб-сайт Cyber Berkut активен по состоянию на 28 мая 2015 г.
Вверху: скриншоты инструмента загрузки и прилагаемые инструкции по использованию.
Глядя на исходный код инструмента, группа использует различные версии Mozilla Firefox и Opera в качестве пользовательских агентов, когда цели DDoS. Самая последняя версия этого инструмента была скомпилирована примерно за неделю до начала прямой загрузки для всех веб-сайтов Cyber Berkut.
Вверху: снимок экрана исходного кода инструмента атаки с конкретными пользовательскими агентами.
Вверху: анализ инструмента PeStudio, показывающий дату создания и подписи.
Другой страницей, размещенной на веб-сайтах Cyber Berkut, была так называемая страница «Предатели», в которой перечислены документы и личные профили целевых украинцев. Документы были направлены на то, чтобы показать военную и корпоративную коррупцию в Украине, в то время как личные профили были целевыми атаками на видных людей, включая главу служб безопасности и крупных политиков.
Вверху: Снимок экрана ныне несуществующей страницы «Предатели» с просочившимися документами и личными целями.
Личные профили включают фотографии, образование, историю работы и полный спектр обвинений от педерастии до политической коррупции, указанных в качестве «фактов». В большинстве профилей информация размещается в виде пропагандистских видео против отдельных лиц.
Заключение
Cyber Berkut - это последняя известная группа хактивистов, появившаяся, поскольку правительства и негосударственные субъекты продолжают участвовать в конфликтах в Интернете. Хотя хактивизм в основном состоял из грубых порч и низкоуровневых DDoS-атак, эта группа демонстрирует эволюцию в прямом распространении проприетарных инструментов и быстрой координации для установления цифрового присутствия с первых дней наземных боев.
Как взломы рекламных щитов, так и громкий характер утечек документов также показывают способность недорогих быстрых атак наносить ущерб там, где обычные методы не могут этого сделать. В то время как боевые действия были далеко от Киева, и правительственные системы не могли быть физически повреждены, Cyber Berkut смог украсть критическую информацию и информацию о проектах вдали от линии фронта.
Хотя атрибуция кибер-акторов затруднена, технический анализ доменов группы и контекст их пропаганды показывают четкие связи с Россией. В то время как российское правительство может участвовать или не участвовать, риторика и политическая перспектива, очевидная в кибер-беркутских взломах, тесно связаны с мнениями, высказанными в российских СМИ. Cyber Berkut по-прежнему эффективен в Интернете, и мы можем ожидать от них новых атак в ближайшие дни украинского конфликта.