torsdag 27 september 2018

Fancy Bear, the Russian Election Hackers, Have a Nasty New Weapon

https://www.thedailybeast.com/fancy-bear-the-russian-election-hackers-have-a-nasty-new-weapon

September 27, 2018

If Putin’s new malware hits you, don’t bother wiping your hard drive. Just throw out your computer.

Russia’s GRU has secretly developed and deployed new malware that’s virtually impossible to eradicate, capable of surviving a complete wipe of a target computer’s hard drive, and allows the Kremlin’s hackers to return again and again.

The malware, uncovered by the European security company ESET, works by rewriting the code flashed into a computer’s UEFI chip, a small slab of silicon on the motherboard that controls the boot and reboot process. Its apparent purpose is to maintain access to a high-value target in the event the operating system gets reinstalled or the hard drive replaced—changes that would normally kick out an intruder.  

It’s proof that the hackers known as Fancy Bear “may be even more dangerous than previously thought,” company researchers wrote in a blog post. They’re set to present a paper on the malware at the Blue Hat security conference Thursday.

U.S. intelligence agencies have identified Fancy Bear as two units within Russia’s military intelligence directorate, the GRU, and last July Robert Mueller indicted 12 GRU officers for Fancy Bear’s U.S. election interference hacking.

The advanced malware shows the Kremlin’s continued investment in the hacking operation that staged some of the era’s most notorious intrusions, including the 2016 Democratic National Committee hack. The GRU’s hackers have been active for at least 12 years, breaching NATO, Obama’s White House, a French television station, the World Anti-Doping Agency, countless NGOs, and military and civilian agencies in Europe, Central Asia, and the Caucasus. Last year, they targeted Democratic Sen. Claire McCaskill, who’s facing a hotly contested 2018 re-election race.

“There’s been no deterrence to Russian hacking,” said former FBI counterterrorism agent Clint Watts, a research fellow at the Foreign Policy Research Institute. “And as long as there’s no deterrence, they’re not going to stop, and they’re going to get more and more sophisticated.”

As sophisticated as it is, Russia’s new malware works only on PCs with security weaknesses in the existing UEFI configuration. It also isn’t the first code to hide in the UEFI chip. Security researchers have demonstrated the vulnerability with proof-of-concept code in the past, and a 2015 leak showed that commercial spyware manufacturer Hacking Team offered UEFI persistence as an option in one of their products. There’s even evidence that Fancy Bear borrowed snippets of Hacking Team’s code, ESET said.  

Last year, a WikiLeaks dump revealed that the CIA used it own malware called “DerStarke” to maintain long-term access to hacked MacOS machines using the same technique.

But until now such an attack has never been spotted in the wild on a victim computer.

The first public whiff of Russia’s new malware emerged last March, when Arbor Networks’ ASERT team reported finding malware designed to look like a component of the theft-recovery app Absolute LoJack.

Absolute LoJack works much like Apple’s Find My iPhone app, allowing laptop owners to attempt to geo-locate a computer after a theft, or to remotely wipe their sensitive files from the missing machine. The hackers copied one piece of the app, a background process that maintains contact with Absolute Software’s server, and changed it to report to Fancy Bear’s command-and-control servers instead.

ESET researchers call the malware LoJax. They suspected they were seeing just one piece of a larger puzzle, and started looking for additional LoJax components in Eastern Europe and the Balkans, where LoJax was popping up on hacked machines alongside better-known Fancy Bear implants like Seduploader, X-Agent, and X-Tunnel.

They found a new component of LoJax designed to access technical details of a computer’s UEFI chip, and surmised that Fancy Bear was moving to the motherboard. Eventually they found the proof in another component called “ReWriter_binary” that actually rewrote vulnerable UEFI chips, replacing the vendor code with Fancy Bear’s code.

Fancy Bear’s UEFI code works as a bodyguard for the the counterfeit LoJack agent. At every reboot, the hacked chip checks to make sure that Windows malware is still present on the hard drive, and if it’s missing, reinstalls it.

The researchers so far have found only one computer with an infected UEFI chip among many with the fake LoJack component, which makes them think the former is only rarely deployed. And by all evidence, the entire project is relatively new.

“The LoJax campaign started at least in early 2017,” said Jean-Ian Boutin, a senior malware researcher at ESET. “ We don’t know exactly when the UEFI rootkit was used for the first time, but our first detection came in early 2018.”

“The GRU is following a developmental model that’s very sophisticated,” said Watts. “They have programmers who seem to be top-notch and they appear to rapidly deploy their cyberweapons not long after they develop them.”

The ESET researchers said the new malware should be taken as a warning. “The LoJax campaign shows that high-value targets are prime candidates for the deployment of rare, even unique threats,” the researchers wrote. “Such targets should always be on the lookout for signs of compromise.”

onsdag 5 september 2018

Två ryska män åtalas för nervgiftattacken mot Sergej Skripal - Theresa May pekar ut Rysslands högsta statsledning och underrättelsetjänsten GRU


https://svenska.yle.fi/artikel/2018/09/05/tva-ryska-man-atalas-for-nervgiftattacken-mot-sergej-skripal-theresa-may-pekar-ut

5 september 2018

Brittiska åklagare säger sig ha samlat in tillräckligt med bevis för att åtala två ryska medborgare misstänkta för mordförsöket på den förre ryske spionen Sergej Skripal och hans dotter Julia.

Bägge överlevde försöket att mörda dem med nervgiftet Novitjok i Salisbury i södra England i mars.

Storbritannien har samtidigt utfärdat en europeisk arresteringsorder för de två misstänkta, Alexander Petrov och Ruslan Boshirov, som antas vara falska namn Polisen har också offentliggjort fotografier av dem båda.

- Det här innebär att om någondera av männen reser till ett land där arresteringsordern är i kraft så kommer de att gripas och utlämnas. Det finns ingen preskriptionstid för brotten, säger Sue Hemming vid åklagarämbetet, Storbritannien kommer ändå inte att begära att de utlämnas.

- Vi kommer inte att begära att dessa män utlämnas eftersom den ryska grundlagen inte tillåter att landets medborgare utlämnas, säger Sue Hemming.

40 år gamla med falska namn

De misstänkta är omkring 40 år gamla och de har rest runt i Europa under falska namn, trots att de har haft genuina ryska pass.

- Det är sannolikt att de reste under falska identiteter och att det här inte är deras riktiga namn, säger Neil Basu som leder antiterrorpolisen i Storbritannien.

Männen hade fastnat på övervakningskameror i Salisbury vilket bevisar att de var i staden den 4 mars då Sergej och Julia Skripal hittades medvetslösa på en parkbänk.

Man har också bilder av dem då de anlände till landet under sina antagna namn, säger Neil Basu.

Männen anlände till Storbritannien den 2 mars och lämnade landet den 4 mars.

- Prov togs i det hotellrum där de misstänkta bodde. Proven tyder på att det fanns spår av nervgiftet Novitjok, men mängderna i rummet utgjorde inte en fara för den allmänna hälsan, säger Basu.

Britterna har tidigare anklagat den ryska staten för mordförsöket, bland annat för att Novitjok utvecklades och tillverkades i Sovjetunionen på 1970- och 1980-talet.

"Föraktligt, avskyvärt dåd"

Storbritanniens premiärminister Theresa May informerade underhuset om åtalen då hon höll ett extra insatt tal inför parlamentet på onsdag eftermiddag.

Hon sade att regeringen hade rätt då den i våras pekade ut Ryssland som ansvarigt för attacken och hon anklagade idag explicit den militära underrättelsetjänsten GRU för mordförsöket.

- Regeringen har dragit slutsatsen att de två misstänkta är officerare i GRU. Så detta var inte en skurkaktig operation. Det är så gott som säkert att den också godkändes ovanför GRU, i den högsta statsledningen, sade May.

- Det här var ett avskyvärt och föraktligt dåd, där man använde det destruktiva nervgiftet Novitjok för ett angrep mot vårt land. Det ledde till att fyra människor lämnades för att kämpa för sina liv och en oskyldig kvinna dödades, förklarade May inför parlamentet.

Ryssland har ingen aning om männen

Ryssland har konsekvent förnekat att landet skulle ha haft något med mordförsöket att göra och det försäkrade landets utrikesministerium även idag.

Utrikesministeriet säger att de publicerade namnen på de misstänkta inte säger något, vilket knappas är förvånande om namnen är falska så som britterna hävdar.

- Namnen som har publicerats i medier liksom fotografierna, betyder inget för oss, säger Maria Zacharova på utrikesministeriet i Moskva.

Rysslands representant i organisationen för förbud mot kemiska vapen, OPCW, förnekar också at Ryssland skulle vara inblandat.

Ryssland upprepade idag sitt tidigare förslag om att att brittiska myndigheter borde samarbeta med Ryssland i brottsutredningen, vilket är absurt ur brittisk synvinkel.

Svensk enighet om att Nord Stream 2 måste stoppas

https://sverigesradio.se/sida/artikel.aspx?programid=105&artikel=7036142

5 september 2018

Alla svenska riksdagspartier vill stoppa den kontroversiella ryska gasledningen Nord Stream 2, som planeras att byggas på Östersjöns botten.

Ekot har frågat partierna om EU borde ingripa mot projektet. Och svaret är alltså entydigt "ja".

– Nord Stream 2 är ett dåligt förslag, både energipolitiskt, miljömässigt och även säkerhetspolitiskt. Vi har från Moderaterna tryckt på väldigt hårt för att alla verktyg som finns ska användas för att stoppa det här projektet. Det säger Karin Enström som är Moderaternas talesperson i EU-frågor.

Det finns alltså flera skäl till att motsätta sig den nya gasledningen, enligt de svenska riksdagspartierna. EU vill öka andelen miljövänlig förnyelsebar energi. Att då göra sig beroende av fossil gas leder i motsatt riktning.

Dessutom handlar det om säkerhetspolitik. De svenska partierna vill inte se en ökad rysk verksamhet så nära den svenska kusten. Lars Adaktusson är EU-parlamentariker för Kristdemokraterna.

– Ryssland respekterar inte internationell rätt. Det har vi sett i Georgien, det har vi sett i Ukraina och på Krimhalvön. Därför är det viktigt att hitta andra vägar att säkra elproduktionen, än att vara beroende av Ryssland.

Problemet är bara att det har visat sig vara svårt att stoppa ledningen. På Östersjöns botten ligger redan en första gasledning, Nord Stream 1, som inte gick att stoppa med hjälp av internationell rätt.

Därför har nu EU-Kommissionen lagt ett förslag på lagändringar för gasledningar, med det uttryckliga målet att kunna stoppa Nord Stream 2.

Miljöpartiets Jonas Eriksson är ordförande i Riksdagens EU-nämnd:

– Vi har ju från svensk sida sett svårigheter med att använda den lagstiftning som finns internationellt, för att kunna stoppa den här ledningen. Jag tycker därför att det är bra att Kommissionen kommer med förslag på hur man kan uppnå energimålen, klimatmålen och även stärka säkerhetsperspektivet.

EU-Kommissionen kommer alltså att få stöd för sitt lagförslag från Sverige, oavsett hur det går i valet på söndag. Vänsterpartiets Jens Holm, som sitter i Riksdagens EU-nämnd är övertygad om att det går att stoppa projektet.

– Om vi vill stoppa införseln av fossilgas till Europa, då kan vi göra det. Man får se till att hitta lagrum för det, eller så får man stifta nya lagar. Det är inte svårare än så.

Men det gäller att jobba snabbt i så fall. Enligt planen ska den nya ledningen börja byggas redan i år och vara färdig vid ingången av år 2020.