In het kader van een nieuwe ronde van Britse sancties gericht op het inlichtingenapparaat van Moskou, heeft het Nationale Cyber Security Centrum (NCSC) formeel de aanvallen toegeschreven aan de geavanceerde persistente dreiging (APT) groep Fancy Bear, die gebruikmaakt van een ingenieus ontworpen malware genaamd Authentic Antics.
Authentic Antics is ontwikkeld om inloggegevens en tokens van e-mailaccounts van slachtoffers te stelen, waardoor Russische cyber-spionnen langdurige toegang kunnen verkrijgen tot hun doelwitten. Fancy Bear, ook bekend als APT28 in verschillende dreigingsanalyses, opereert onder het 85e Hoofd Speciale Dienstencentrum, Militaire Eenheid 26165, en valt uiteindelijk onder de GRU, de opvolger van de legendarische KGB uit de Koude Oorlog.
Paul Chichester, directeur operaties van het NCSC, verklaarde: “Het gebruik van de Authentic Antics malware toont de volharding en verfijning aan van de cyberdreiging die door de GRU van Rusland wordt gepresenteerd. De onderzoeken van het NCSC naar de activiteiten van de GRU door de jaren heen tonen aan dat netwerkverdedigers deze dreiging niet voor lief moeten nemen en dat monitoring en beschermende maatregelen essentieel zijn voor de verdediging van systemen.”
Chichester voegde eraan toe: “Wij zullen Russische kwaadaardige cyberactiviteiten blijven aan de kaak stellen en moedigen netwerkverdedigers sterk aan om het advies op de NCSC-website op te volgen.”
In samenwerking met NCC Group, dat monsters van Authentic Antics heeft verstrekt, hebben de experts van het NCSC een uitgebreide analyse van de malware uitgevoerd – deze is hier in zijn geheel te lezen. De malware mengt zich met alledaagse, legitieme activiteiten, waardoor Fancy Bear blijvende toegang kan behouden tot Microsoft-cloudaccounts.
Authentic Antics wordt sinds ongeveer 2023 veelvuldig gebruikt en draait binnen de processen van Microsoft Outlook, waar het kwaadaardige inlogprompts aan zijn doelwitten toont om hen te verleiden hun inloggegevens in te voeren. Deze gegevens worden vervolgens onderschept, samen met OAuth 2.0-authenticatietokens voor verschillende applicaties, waaronder waarschijnlijk Exchange Online, SharePoint en OneDrive.
Volgens het NCSC is de malware slim ontworpen om in te spelen op de groeiende vertrouwdheid van eindgebruikers met echte Microsoft-authenticatieprompts. Dit omvat het genereren van prompts vanuit Outlook-processen en ervoor zorgen dat ze niet te vaak worden weergegeven.
Authentic Antics communiceert niet met enige command-and-control-infrastructuur en kan geen aanvullende opdrachten ontvangen. Het communiceert uitsluitend met legitieme diensten, wat betekent dat het moeilijker te detecteren is wanneer het actief is. Het exfiltreert de gegevens van slachtoffers door e-mails te verzenden vanuit het gecompromitteerde account naar een e-mailadres dat door Fancy Bear wordt beheerd – deze verzonden e-mails verschijnen niet in de verzonden items van het slachtoffer.
De instantie benadrukte dat er “significante aandacht” is besteed aan het ontwerp van Authentic Antics om ervoor te zorgen dat het zich mengt met normale activiteiten. Onder andere is de aanwezigheid op de harde schijf beperkt, slaat het gegevens op in Outlook-specifieke registerlocaties en bevat de codebase echte Microsoft-authenticatiebibliotheekcode als een methode voor obfuscatie.
“Het is duidelijk dat de bedoeling van de malware is om blijvende toegang te verkrijgen tot de e-mailaccounts van slachtoffers. Dit benadrukt het belang van het monitoren van uw omgeving op verdachte inlogpogingen,” aldus de analisten van het NCSC.
Sancties
De toeschrijving van de aanvallen gaat gepaard met de aankondiging van bredere sancties tegen drie GRU-eenheden, waaronder Eenheid 26165, en 18 officieren en agenten die naar verluidt cyber- en informatie-inbreukoperaties uitvoeren ter ondersteuning van de geopolitieke en militaire doelstellingen van Rusland.
Onder de gesanctioneerden bevinden zich GRU-militair inlichtingenofficieren die de apparaten van Yulia Skripal, de dochter van de dubbelspion Sergei Skripal, hebben getarget en gevolgd, voorafgaand aan de beruchte mislukte Novichok-vergiftigingspoging tegen hen in 2018, die het leven kostte aan een Britse burger, Dawn Sturgess.
Buitenlandse minister David Lammy verklaarde: “GRU-spionnen voeren een campagne om Europa te destabiliseren, de soevereiniteit van Oekraïne ondermijnen en de veiligheid van Britse burgers te bedreigen. Het Kremlin moet er geen twijfel over hebben: wij zien wat ze in de schaduw proberen te doen en we zullen het niet tolereren. Daarom nemen we beslissende maatregelen met sancties tegen Russische spionnen.”
In ondersteuning van de acties van het VK veroordeelde een woordvoerder van de NAVO de voortdurende kwaadaardige cyberactiviteiten van Rusland en verwees naar andere toeschrijvingen aan Fancy Bear, die eerder dit jaar werd aangeklaagd voor het targeten van westerse logistiek en technologieorganisaties die betrokken zijn bij de verdediging van Oekraïne.
“We roepen Rusland op om zijn destabiliserende cyber- en hybride activiteiten te stoppen. Deze activiteiten tonen de minachting van Rusland voor het kader van de Verenigde Naties voor verantwoord staatsgedrag in cyberspace, dat Rusland beweert te handhaven,” aldus de woordvoerder.
“De acties van Rusland zullen de steun van de bondgenoten aan Oekraïne, inclusief cyberhulp via het Tallinn Mechanisme en de IT-capaciteitscoalitie, niet ontmoedigen. We zullen de lessen die we hebben geleerd van de oorlog tegen Oekraïne blijven gebruiken om Russische kwaadaardige cyberactiviteit tegen te gaan.”
