Hosszú kutatómunka és elemzés után az F-Secure biztonsági cég tegnap kiadott egy jelentést, melyben az általuk „the Dukes”-nak nevezett kiberkémcsoport működését mutatják be. Mint az összefoglalóból kiderül, a legalább 2008 óta aktív csoportról megalapozottan lehet feltételezni, hogy sorozatos malware-kampányaikat az orosz kormány megbízásából végezték, végzik (pl. sok orosz szöveget találtak a kódokban, illetve a támadások többsége kapcsolatba hozható orosz vonatkozású politikai eseményekkel, az időbélyegzők a moszkvai időre utalnak stb.). Célpontjaik kormányzati rendszerek, illetve politikai és egyéb szervezetek.

[+]

A csoport az elemzések szerint kiemelten jól szervezett, kiváló anyagi lehetőségekkel rendelkezik, tevékenységük végzése során igen céltudatosak. A célba vett szervezetek elsősorban a nyugati világban találhatóak, de gyakorlatilag az egész világon tevékenykednek, és olyan szervezetektől igyekeznek minél több védett adatot megszerezni, melyek az orosz külpolitika számára kiemelt jelentőségűek. Behatolásaik többségét a klasszikus módszerrel hajtják végre: fertőzött, adathalász e-maileket juttatnak el a célpontokhoz, majd a sikeres fertőzés után valamilyen kártékony kódot telepítenek a rendszerbe, amely különféle adatokat szerez meg, majd elküldi ezeket a támadóknak.

A csoport igen sokféle malware-et használ, ezeket a biztonsági cégek – az F-Secure mellett például a Kaspersky vagy a Palo Alto Research is – már jó ideje vizsgálják, és a friss jelentés most összefoglalja őket. A Duke-család legfontosabbjai:

• PinchDuke: 2008 és 2010 között volt aktív, elsődleges célpontjai a hitelesítési adatok voltak olyan szolgáltatásokhoz, mint pl. a Yahoo!, a Google Talk vagy a Mail.ru, a malware-t vagy egy fertőző Microsoft Word, vagy egy hasonló Adobe Acrobat fájl segítségével terjesztették
• GeminiDuke: 2009 és 2012 között működött. Elsődleges célja konfigurációs információk gyűjtése (hálózati beállítások, szoftverösszetétel, Windows-környezet, fájlok és könyvtárak nevei stb.), vagyis láthatóan egy „felderítő” programról van szó, mely tovább támadandó célpontok kiválasztásában segít
• Cosmic Duke: 2010 januárjában észlelték először, és idén nyáron még biztosan aktív volt. Igen komplex adatlopó program: rögzíti a billentyűzet használatát, képernyőképeket készít, minden tartalmat elment, ami a Windows vágólapjára kerül, de emellett képes felhasználóneveket, jelszavakat és titkosítási kulcsokat is megszerezni

[+]

• MiniDuke: a valószínűleg még ma is aktív malware egy többlépcsős eszköz, más programok betöltésére használják

• CozyDuke: a több néven is ismert moduláris malware legfőbb célja az irányító szerverrel való kapcsolattartás, a szerver parancsainak végrehajtása, más malware-ek telepítése, de képes az adatlopás mellett állandó hátsó kapu fenntartására, valamint a jelszavak begyűjtése után helyi hálózat megfertőzésére is
• OnionDuke: 2013-ban észlelték az aktivitását, jelenleg is működik, az adatlopás mellett fő célja túlterheléses támadások indítása, illetve spamek küldése a közösségi oldalakra
• SeaDuke/HammerDuke: a CozyDuke kiegészítői, feladatuk, hogy ha az első fertőzést felfedeznék, telepítsenek egy másikat
• CloudDuke: ez a nemrég megtalált malware más kártékony programokat tölt le és telepít

Az F-Secure jelentése megállapítja, hogy a csoport egészen biztosan orosz politikai érdekeket szolgál, de azt nem lehet tudni, hogy közvetlenül kormány működteti-e, vagy esetleg igen jól fizetett bérmunkában lopják az adatokat.