Acasă Diverse Gruparea Sofacy: interesul s-a mutat de la NATO și Ucraina, către Est

Gruparea Sofacy: interesul s-a mutat de la NATO și Ucraina, către Est

37
NOTĂ: Acest blog nu conţine advertoriale (articole sponsorizate/articole plătite), dar unele articole pot conține linkuri de afiliere. Susțineți acest blog cumpărând software prin aceste linkuri. Mulțumesc!
NOTE: This blog does not contain advertorials (sponsored articles/paid articles), but some articles may contain affiliate links. Support this blog by purchasing software through these links. Thank you!

Echipa GREAT (Global Research and Analysis Team) de la Kaspersky Lab a publicat o prezentare generală a activității grupării Sofacy (cunoscută și sub numele de APT 28 sau Fancy Bear) în 2017, pentru a ajuta organizațiile din întreaga lume să înțeleagă mai bine și să se protejeze împotriva acesteia.

Context

Sofacy este un grup de spionaj cibernetic extrem de activ și de prolific. În 2016, amenințarea a ajuns în atenția publicului odată cu un raport care indica prezența sa, alături de APT29, în rețeaua DNC (Comitetul Democratic Național) din Statele Unite, dar aceasta este doar o parte a poveștii.

Echipa GREAT de la Kaspersky Lab urmărește grupul Sofacy, vorbitor de limba rusă, de mulți ani, iar în 2017 a prezentat un raport complex privind cele mai noi instrumente, tehnici și ținte vizate de grupare.

Iată care au fost principalele descoperiri:

  • În 2017, activitatea Sofacy nu s-a mai concentrat atât de mult pe ținte care aveau legătură cu NATO și Ucraina, ci s-a reorientat către finalul anului spre Asia Centrală și de Est.
  • La începutul anului s-a finalizat campania din ultimele luni ale lui 2016 – campania de phishing direcționat Dealers’ Choice, care a vizat organizații care aveau legătură cu interesele diplomatice și militare ale NATO și ale Ucrainei. Extinderea globală a campaniei a fost remarcabilă – atât KSN (Kaspersky Security Network), cât și surse externe au confirmat ținte din Armenia, Azerbaidjan, Franța, Germania, Irak, Italia, Kârgâzstan, Maroc, Elveția, Ucraina, Statele Unite, Vietnam, Turcia, Polonia, Bosnia și Herțegovina, Coreea de Sud, Letonia, Georgia, Australia, Suedia și Belgia.
  • În prima parte a anului s-a observat utilizarea pentru spear-phishing a unui instrument de tip zero day care profita de o vulnerabilitate Microsoft Office (CVE-2017-0262) și de o vulnerabilitate de tip escaladare de privilegii „use-after-free” (CVE-2017-0263). Acest instrument a fost folosit pentru a ataca, în principal, ținte NATO din Europa, cu ajutorul conținutului legat de conflictul militar sirian.
  • Până la mijlocul lui 2017, detectările backdoor-ului SPLM al amenințării Sofacy au dezvăluit o țintă importantă – statele ex-sovietice din Asia Centrală. Profilul țintelor includea organizațiile comerciale și militare din zona apărării și telecomunicațiile. Una dintre țintele SPLM descoperite de cercetători a fost o firmă de audit și consultanță din Bosnia și Herțegovina.  
  • Cercetătorii au mai descoperit că mecanismul Zebrocy de payload și livrare folosit de Sofacy a fost modificat pentru a lovi o serie de ținte, reduse la număr și extrem de specifice, din totalul victimelor. Pentru aceste atacuri,  conținutul avea legătură cu cereri de viză și imagini scanate, administrația controlului de frontieră și alte note administrative. Se pare că țintele atacate proveneau din Orientul Mijliciu, Europa și Asia și erau entități industriale, de tehnologie, guvernamentale și diplomatice, printre altele.
  • Țintele atacurilor Zebrocy și SPLM au fost detectate în: Afganistan, Armenia, Australia, Azerbaidjan, Bangladesh, Belgia, China, Germania, Estonia, Finlanda, Georgia, Israel, India, Iordan, Kuwait, Kârgâzstan, Kazahstan, Liban, Lituania, Mongolia, Malaysia, Olanda, Oman, Pakistan, Polonia, Arabia Saudită, Africa de Sud, Coreea de Sud, Suedia, Elveția, Tadjikistan, Turkmenistan, Turcia, Ucraina, Emiratele Arabe Unite, Regatul Unit, Statele Unite, Uzbekistan, și Bosnia și Herțegovina.
  • De-a lungul anului 2017, o parte din infrastructura Sofacy a fost făcută publică, așa că cercetătorii se așteaptă să vadă schimbări la nivelul acesteia în 2018.

Gruparea Sofacy: interesul s-a mutat de la NATO și Ucraina, către Est Gruparea Sofacy: interesul s-a mutat de la NATO și Ucraina, către Est

“Sofacy este una dintre cele mai active amenințări pe care le monitorizăm și care continuă să atingă noi ținte la scară globală. Datele și analizele noastre arată că în 2017 atacatorii și-au optimizat arsenalul de instrumente pe măsură ce au trecut de la atacurile la adresa NATO, la zona Orientului Mijlociu și a Asiei Centrale și apoi la est. Campaniile în masă par să fi fost înlocuite de tehnici de nișă, folosind instrumente ca Zebrocy și SPLM.” spune Kurt Baumgartner, Principal Security Researcher la Kaspersky Lab.

Recomandările Kaspersky Lab pentru a rămâne în siguranță

În cazul unui grup ca Sofacy, odată detectat într-o rețea, este important să fie verificate istoricul de autentificare și cazurile neobișnuite de acces al administratorilor, să fie scanate și verificate într-un mediu izolat toate fișierele primite și să fie folosită autentificarea în doi pași pentru servicii precum email-ul și accesul la VPN.

Informațiile din rapoartele de specialitate și regulile YARA vă ajută să detectați mai ușor prezența grupului Sofacy. De asemenea, puteți investi într-o soluție cum e KATA (Kaspersky anti-targeted-attack), care oferă procesare out-of-band.

Mai multe informații, inclusiv detalii tehnice, pot fi găsite în raportul de pe Securelist: https://securelist.com/a-slice-of-2017-sofacy-activity/83930/.