CozyDuke ett av de allvarligaste hoten mot företag och myndigheter

F-SecureI en ny studie pekar F-Secure Labs ut hackerverktyget CozyDuke som ett fortsatt allvarligt hot för myndigheter och andra stora organisationer. CozyDuke är ett avancerat angrepp (advanced persistent threat, APT) som kombinerar flera taktiker och skadlig programvara för att underminera säkerheten och stjäla information från måltavlan.

– Många av målen för CozyDuke är västerländska myndigheter och institutioner, men vi ser också att det används mot mål i Asien, vilket är värt att notera. Det har en bredare grupp mål än andra liknande hot, säger F-Secures säkerhetsanalytiker Johan Jarl.

Den nya analysen kopplar samman CozyDuke med andra APT som legat bakom flera uppmärksammade angrepp, däribland de välkända hoten MiniDuke och OnionDuke. F-Secure Labs har kopplat dessa plattformar till flera stora angrepp, däribland riktade angrepp mot mot NATO och europeiska myndigheter. Även personer som använder en rysk utgångsnod för anonymiseringsnätverket TOR har drabbats (1). CozyDuke använder i stor utsträckning samma infrastruktur som de övriga plattformarna och har komponenter som använder krypteringsalgoritmer liknande dem som används av OnionDuke. Även om dessa metoder är besläktade och delar på resurser, så har de konstruerats på lite olika sätt för att bli mer effektiva mot specifika mål.

CozyDuke och de besläktade angreppen tros ha sitt ursprung i Ryssland (2). Johan Jarl konstaterar att det ännu inte finns tillräcklig evidens för att definitivt slå fast angriparnas rätta identitet och syften, men är övertygad om att det är samma personer som legat bakom angreppen med OnionDuke och MiniDuke.

– CozyDuke har spritts sedan 2011, men utvecklas ständigt. Slutsatsen är att vi har att göra med en grupp som satsat både tid och pengar på utveckling, vilket innebär att det nu är viktigt att fokusera på att avgöra vilka mål de har.

Angreppet inleds genom social manipulation, där medarbetare inom målorganisationen luras att göra något, som att öppna en bilaga i ett mail. Lockbetet är exempelvis en pdf- eller videofil som också öppnas, vilket innebär att CozyDuke kan infektera systemet utan att det märks. Därefter kan angriparen utföra en mängd åtgärder genom att använda olika tilläggsmoduler som t.ex. låter dem samla in lösenord och annan känslig information, utföra godtyckliga kommandon eller avlyssna hemlig kommunikation.

Rapporten noterar också att CozyDuke kontrollerar om det finns säkerhetsprogramvara installerad innan systemet infekteras och att vissa typer av säkerhetsprogram kan leda till att attacken avbryts. Rapporten, som skrivits av F-Secures hotanalytiker Artturi Lehtiö, är gratis och tillgänglig för nedladdning från F-Secures hemsida.

  1. Källa: https://www.f-secure.com/weblog/archives/00002764.html
  2. Källa: https://www.f-secure.com/weblog/archives/00002780.html

Källa: F-Secure