SIKKERHET

Russiske hackere angriper Nato-allierte: Bruker Dropbox og Google Drive

Russisk hackergruppe bruker skylagring for å levere skadevare til Nato-allierte ambassader.

Illustrasjonsbilde.
Illustrasjonsbilde. Illustrasjonsfoto: welcomia.com
Jonas HøydalJonas HøydalJournalist
20. juli 2022 - 12:00

Det kommer fram i en ny rapport fra det amerikanske cybersikkerhetsselskapet Palo Alto Networks.

Etterforskningsenheten Unit 42 ved Palo Alto har etterforsket en kampanje fra hackergruppen Cozy Bear, som også går under navn som APT29 og Cloaked Ursa. Britisk og amerikansk etterretning har tidligere slått fast at hackergruppen er nært knyttet russisk utenlandsetterretning.

Hackergruppen har tatt i bruk skytjenester som Google Drive, Adobe og Dropbox for å levere skadevare, blant annet fordi disse tjenestene er krypterte, noe som gjør angrep og avvik i systemene vanskelig å avdekke.

– De siste kampanjene utført av en APT (en avansert vedvarende trussel) som ved sporing viser seg å være Cloaked Ursa, demonstrerer en skremmende evne til raskt å ta i bruk populære skylagringstjenester for å unngå oppdagelse, sier en anonymisert talsperson i Unit 42.

Møtebooking som lokkemat

Utenriksdepartementet til et ikke navngitt Nato-land ble i mai tilsendt en e-post fra det som tilsynelatende er den portugisiske ambassaden. E-posten med tittelen «Meeting request – Ambassador of Portugal» var vedlagt et pdf-dokument, som skal ha fristet med tre lenker til kalenderen til den portugisiske ambassadøren.

I stedet for å åpne en kalender, er lenkene koblinger til en Dropbox-filbeholdning med en ondsinnet HTML-fil.

Det vedlagte pdf-dokumentet inneholder tre lenker til en Dropbox-filbeholdning <i>Skjermbilde: Palo Alto Networks</i>
Det vedlagte pdf-dokumentet inneholder tre lenker til en Dropbox-filbeholdning Skjermbilde: Palo Alto Networks

Ifølge Unit 42 er det usikkert om hackergruppen faktisk lyktes med dette phishing-angrepet, da flere utenlandske ambassader skal ha lagt adgangsbegrensninger på en rekke skylagringstjenester, deriblant Dropbox.

Ifølge rapporten skal hackergruppen skal ha gjennomført nok et liknende phishing-angrep senere i juni, da gjennom en e-post med en møtebooking med den brasilianske ambassadøren.

Phishing, eller nettfisking på norsk, er en betegnelse for sosial manipulering hvor en angriper forsøker å lure noen til å utføre en handling, skriver datatilsynet.

Disse filene skal skadevaren ha lastet ned til ofrenes datamaskiner. Agenda.exe mistolkes som et Adobe-program av operativsystemet og greier derfor å snike seg forbi antivirusprogrammer. <i>Skjermbilde: Palo Alto Networks</i>
Disse filene skal skadevaren ha lastet ned til ofrenes datamaskiner. Agenda.exe mistolkes som et Adobe-program av operativsystemet og greier derfor å snike seg forbi antivirusprogrammer. Skjermbilde: Palo Alto Networks

For de som har trykket på Dropbox-lenken, skal HTML-filen ha skrevet en ISO-fil til harddisken som skal ha inneholdt tre skjulte filer og én snarvei. Ved å dobbeltklikke på snarveien kalt «Information» skal viruset ha lekket blant annet nettverksinformasjon og informasjon om aktive programmer til en Google Drive-filbeholdning.

Ikke første gang

Unit 42 antar at kampanjen har rettet seg mot flere vestlige diplomatiske mål.

Det er ikke første gang hackergruppen har blitt beskyldt for å blande seg inn i politiske eller diplomatiske prosesser.

Blant annet skal gruppen ha stått bak hackingen av den demokratiske nasjonalkomitéen i forkant av presidentvalget i USA i 2016 og programvareselskapet Solarwinds i 2020.  

Gruppen skal dessuten ha brukt et verktøy som normalt brukes til å simulere cyberangrep og såkalt red-teaming til å utvikle skadevare. Red-teaming, eller etisk hacking, er når cybersikkerhetseksperter prøver å avdekke svakheter i sikkerhetssystemer ved replikere angrepsteknikker hackere benytter.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.