Seit Jahren russisch Hacker der Regierung habe mehrere erfundene Personas verwendet um ihre Spuren zu verwischen und zu versuchen, Sicherheitsforscher und Regierungsbehörden dazu zu bringen, die Schuld in die falsche Richtung zu lenken.
Sie haben gab vor, ein einsamer rumänischer Hacktivist zu sein nannten sie Guccifer 2.0, als sie das Democratic National Committee hackten; entfesselt eine zerstörerische Malware entworfen, um wie gewöhnliche Ransomware auszusehen; versteckt in den Servern von einer iranischen Hackergruppe verwendet; behauptet zu sein eine islamistische Hackergruppe namens Cyber Caliphate; hat die Olympischen Winterspiele 2018 gehackt Semmelbrösel hinterlassen das wies auf Nordkorea und China hin; und falsche Beweise in Dokumente eingefügt als Hack-and-Leak-Operation veröffentlicht angeblich von einer Hacktivistengruppe namens Cyber Berkut durchgeführt.
Jetzt behaupten Sicherheitsforscher, eine neue falsche Flagge der russischen Regierung gefunden zu haben.
Laut Sicherheitsforschern von BlackBerry ist die Cybercrime-Gruppe bekannt als Kuba-Ransomware, das zuvor mit einem Malware-Stamm namens RomCom RAT in Verbindung gebracht wurde, ist überhaupt keine Cyberkriminalitätsgruppe. Es handelt sich tatsächlich um eine Gruppe, die für die russische Regierung arbeitet und ukrainische Militäreinheiten und lokale Regierungen ins Visier nimmt, sagten die Forscher.
„Es ist eine irreführende Zuschreibung“, sagte Dmitry Bestuzhev, Senior Director des Cyberthreat Intelligence-Teams von BlackBerry, und verwies auf die Verbindungen zwischen RomCom RAT und Kuba. „Es sieht so aus, als wäre es nur eine weitere Einheit, die für die russische Regierung arbeitet“, sagte er.
Die russische Botschaft in Washington, D.C. reagierte nicht auf eine Bitte um Stellungnahme.
RomCom RAT ist ein Fernzugriffstrojaner erstmals von Einheit 42 entdecktder Sicherheitsforschungsgruppe von Palo Alto Networks, im Mai 2022. Die Sicherheitsforscher des Unternehmens brachten die Malware mit der Kuba-Bande in Verbindung, die Ransomware gegen Ziele in den Bereichen „Finanzdienstleistungen, Regierungseinrichtungen, Gesundheitswesen und öffentliche Gesundheit, kritische Fertigung, und Informationstechnologie“, nach Angaben der US-amerikanischen Cybersicherheitsbehörde CISA.
Der Name stammt von der Gruppe selbst, die sie verwendet hat Illustrationen von Fidel Castro und Che Guevara auf ihrer dunklen Website, obwohl kein Forscher jemals Beweise dafür gefunden hat, dass die Gruppe etwas mit dem Inselstaat zu tun hat.
Berichten zufolge hat RomCom RAT dies getan gefälschte Versionen beliebter Apps verwendet wie der Passwort-Manager KeePass, das IT-Verwaltungstool SolarWinds, Advanced IP Scanner und der Adobe Acrobat Reader. Laut Bestuschew und seinen Kollegen hat RomCom RAT in den letzten Monaten auch ukrainische Militäreinheiten, lokale Regierungsbehörden und das ukrainische Parlament ins Visier genommen.
Bestuzhev erklärte, dass ihre Schlussfolgerung nicht nur auf den Zielen, sondern auch auf dem Zeitpunkt der Hackeroperationen beruhe.
Sein Team hat die Gruppe ein Jahr lang verfolgt und ihre Spur durch das Internet verfolgt. Im Rahmen ihrer Untersuchung beobachteten die Forscher, dass die Hacker verschiedene digitale Zertifikate verwendeten, um die gefälschten Domänen zu registrieren, mit denen sie Malware auf Zielen einschleusten.
In einem Fall wurden die Forscher Zeuge, wie die Hacker am 23. März, eine Woche vor dem ukrainischen Präsidenten Wolodymyr Selenskyj, ein digitales Österreich-Zertifikat erstellten, um eine mit Sprengfallen versehene Website zu signieren sprach vor dem österreichischen Parlament per Videoanruf.
Das gleiche Muster passierte ein anderes Mal. Als die RomCom RAT-Hacker im November 2022 eine SolarWinds-Website nachahmten, war es etwa zur Zeit ukrainischer Streitkräfte betrat die belagerte Stadt Cherson. Als die Hacker im Juli 2022 den Advanced IP Scanner nachahmten, war das gerade der Anfang der Ukraine Einsatz von HIMARS-Raketen bereitgestellt von der US-Regierung. Und dann, im März 2023, ahmten die Hacker den Remote Desktop Manager nach, als ukrainische Piloten begannen wurden für das Fliegen von F-16-Kampfflugzeugen ausgebildetsowie Polen und die Slowakei beschlossen, bereitzustellen Ukraine mit Militärtechnik.
„Jedes Mal, wenn ein Großereignis passierte, etwa etwas Großes in der Geopolitik und insbesondere im militärischen Bereich, war RomCom RAT einfach da, genau richtig“, sagte Bestuzhev.
Andere Sicherheitsforscher sowie die ukrainische Regierung selbst sind jedoch immer noch nicht vollständig davon überzeugt, dass es sich bei RomCom RAT und Cuba Ransomware tatsächlich um Hacker der russischen Regierung handelt.
Doel Santos, ein leitender Forscher an der Unit 42 von Palo Alto Networks, sagte, dass die Gruppe hinter der RomCom RAT-Malware „ausgefeilter als herkömmliche Ransomware-Gruppen“ sei, da sie benutzerdefinierte Tools verwende.
„Einheit 42 hat die Aktivitäten gegen die Ukraine beobachtet. Das hat einen Spionageaspekt und aus diesem Grund könnten sie Anweisungen von einem Nationalstaat erhalten“, sagte Santos gegenüber Tech. „Wir kennen jedoch nicht das Ausmaß dieser Beziehung. Es geht über die normalen Aktivitäten einer Ransomware-Gruppe hinaus.“
Dennoch fügte Santos hinzu: „Einige Gruppen arbeiten nebenbei, um zusätzliche Arbeit zu bekommen – das könnte das sein, was wir in diesem Fall sehen.“
Bestuzhev sagte, er und sein Team hätten diese Möglichkeit in Betracht gezogen, sie jedoch aufgrund der Beharrlichkeit der Hacker, des Zeitpunkts und der Ziele der Angriffe ausgeschlossen, was darauf hindeutet, dass ihr eigentliches Ziel Spionage und nicht Kriminalität sei.
Ein Sprecher der Staatlicher Sonderkommunikationsdienst der Ukraineoder SSSCIP, sagte das eine der Operationen von RomCom RAT in der Ukraine Es zielte auf Benutzer einer speziellen Situationserkennungssoftware namens DELTA ab und „je nach Ziel und verwendeter Malware kann davon ausgegangen werden, dass das Ziel darin bestand, Informationen vom ukrainischen Militär zu sammeln.“
„Aber es gibt nicht genügend Beweise, um es mit Russland in Verbindung zu bringen (außer der Tatsache, dass Russland die Regierung ist, die am meisten an solchen Informationen interessiert ist)“, fügte ein SSSCIP-Sprecher hinzu.
Mark Karayan, ein Sprecher des Threat-Intelligence-Teams von Google, das die Hacker-Gruppe verfolgt hat, sagte: „Unser Team kann diese Ergebnisse nicht ohne Zusehen bestätigen oder dementieren.“ [BlackBerry’s] vollständige Recherche.“
Bestuzhev sagte, dass seine Gruppe nicht vorhabe, alle technischen Details ihrer Erkenntnisse zu veröffentlichen, um den RAT-Hackern von RomCom nicht ihre Hand zu zeigen und sie daran zu hindern, ihre Strategien und Techniken zu ändern. Auf diese Weise, erklärte Bestuzhev, könnten sie die Hacker weiterhin verfolgen und sehen, was sie als nächstes tun.
Es ist noch unklar, wer wirklich hinter RomCom RAT und Cuba Ransomware steckt, aber Bestuzhev und Forscher anderer Unternehmen werden die Gruppe weiterhin im Auge behalten.
„Diese Jungs, sagen wir mal, sie wissen, dass wir es wissen. Wir lieben einander. Und so ist es wie eine langfristige Beziehung“, sagte Bestuschew lachend.
Haben Sie weitere Informationen zu dieser Hackergruppe? Oder andere Hackergruppen, die am Krieg in der Ukraine beteiligt sind? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.