NOTĂ: Acest blog nu conţine advertoriale (articole sponsorizate/articole plătite), dar unele articole pot conține linkuri de afiliere. Susțineți acest blog cumpărând software prin aceste linkuri. Mulțumesc!
NOTE: This blog does not contain advertorials (sponsored articles/paid articles), but some articles may contain affiliate links. Support this blog by purchasing software through these links. Thank you!
Cercetătorii Kaspersky Lab au observat că gruparea de limbă rusă Sofacy, cunoscută și ca APT28 sau Fancy Bear, își mută zona de interes către Orientul Îndepărtat, vizând în special domeniul militar și de apărare și organizații diplomatice – pe lângă țintele sale tradiționale, care au legătură cu NATO.
Cercetătorii au descoperit că Sofacy se suprapune cu alți atacatori atunci când își alege victimele, inclusiv cu gruparea de limbă rusă Turla și cea de limbă chineză Danti. Demn de remarcat, ei au descoperit backdoor-urile Sofacy pe un server compromis anterior de grupul vorbitor de limbă engleză The Lamberts. Serverul aparține unui conglomerat militar și aerospațial din China.
Sofacy este un grup de spionaj cibernetic foarte activ și prolific, pe care cercetătorii Kaspersky Lab îl urmăresc de mai mulți ani. În luna februarie, Kaspersky Lab a publicat un rezumat al activităților grupărilor Sofacy pe anul 2017, dezvăluind o mișcare graduală de la ținte legate de NATO, către Orientul Mijlociu, Asia Centrală și mai departe. Sofacy folosește spear-phishing și uneori tehnici de tip water-holing pentru a fura informații, inclusiv date de autentificare în diferite conturi, date sensibile și documente. De asemenea, este suspectat că ar fi trimis mesaje infectate către diferite ținte.
Noile descoperiri arată că Sofacy nu este singurul „prădător” care urmărește aceste regiuni și că uneori diferiți atacatori vizează aceleași ținte. În cazul Sofacy, cercetătorii au descoperit că programul Zebrocy a concurat pentru acces la victime cu grupările vorbitoare de limbă rusă Mosquito, care fac parte din Turla. Aici, backdoor-ul lor SPLM a concurat cu atacurile tradiționale Turla și cu atacurile de limbă chineză Danti. Printre ținte s-au numărat organizații guvernamentale, din domeniile tehnologic, științific și militar, din zona Asiei Centrale.
În unele cazuri, țintele păreau să fie vizate simultan de atacuri din partea SPLM și Zebrocy. Însă cea mai interesantă suprapunere este probabil cea dintre Sofacy și gruparea de limbă engleză the Lamberts. Legătura a fost descoperită după ce cercetătorii au detectat prezența Sofacy pe un sever cunoscut ca fiind compromis de programul malware Grey Lambert. Serverul aparține unui conglomerat din China care proiectează și produce tehnologii aerospațiale și de apărare aeriană.
Cu toate acestea, în exemplul de mai sus, vectorul inițial SPLM pentru Sofacy rămâne necunoscut. Acest lucru ridică o serie de posibilități ipotetice, inclusiv aceea că Sofacy ar putea folosi un exploit nou și încă nedetectat sau o nouă tulpină a backdoor-ului lor. O altă ipoteză ar fi că Sofacy a reușit cumva să aibă acces la canalele de comunicare Grey Lambert, pentru a-și descărca malware-ul. Ar putea, de asemenea, să însemne inclusiv că indicatorii Sofacy ar fi un indiciu fals, plantat anterior de Lambert. Cercetătorii cred că, cel mai probabil, un script necunoscut PowerShell sau o aplicație web legitimă, dar vulnerabilă, a fost exploatată pentru a încărca și executa codul SPLM în acest caz. Cercetările continuă.
„Grupul Sofacy este descris uneori ca imprudent și necugetat, dar după cum l-am văzut noi, poate fi pragmatic, rezervat și agil”, a spus Kurt Baumgartner, Principal Security Researcher, Kaspersky Lab. „Nu s-a vorbit prea mult despre activitatea lor în Est până acum, dar în mod cert nu sunt singura grupare interesată de această regiune sau chiar de aceleași ținte. Pe măsură ce amenințările cresc și devin mai complexe, s-ar putea să găsim mai multe exemple de suprapunere a țintelor – ceea ce ar putea explica de ce numeroase grupuri verifică prezența altor intruși înainte de a-și lansa atacurile.”
Cercetătorii au descoperit, de asemenea, că Sofacy păstrează subdiviziuni distincte ale principalelor sale instrumente – cod, dezvoltare și modul cum țintesc SPLM (cunoscut și ca CHOPSTICK și Xagent), GAMEFISH and Zebrocy. SPLM este considerat instrumentul lor principal și selectiv, în timp ce Zebrocy este folosit pentru atacuri în masă. Potrivit cercetătorilor, la începutul anului 2018, Sofacy a vizat două mari organizații comerciale din China care au legătură cu apărarea aeriană, cu SPLM, și a folosit Zebrocy la scară mai mare, în Armenia, Turcia, Kazahstan, Tadjikistan, Afghanistan, Mongolia, China și Japonia.
Toate produsele Kaspersky Lab detectează și blochează toate atacurile Sofacy cunoscute, iar unele dezinfectări mai complexe s-ar putea să necesite un reboot.
Pentru organizații cu activități în domeniul militar, al apărării și al afacerilor externe, în regiunile afectate, Kaspersky Lab recomandă implementarea următoarelor măsuri pentru a nu cădea victimă unui atac direcționat avansat:
- Folosiți o soluție de securitate corporate testată, alături de tehnologii împotriva atacurilor direcționate și informații despre amenințări, cum este soluția Kaspersky Threat Management and Defense. Acestea reușesc să detecteze atacuri direcționate complexe analizând anomaliile din rețea și le dau echipelor de securitate cibernetică vizibilitate totală asupra rețelei;
- Oferiți personalului din domeniul securității acces la cele mai noi informații despre amenințări, pentru a avea instrumentele necesare cercetării și prevenirii atacurilor direcționate, cum ar fi indicatorii de compromitere (IOC), YARA și rapoarte personalizate despre amenințări;
- Dacă descoperiți primele semne ale unui atac direcționat, luați în considerare serviciile administrate de protecție, care vă vor permite să detectați proactiv amenințări avansate, să reduceți timpul de întrerupere a activității și să asigurați luarea rapidă a primelor măsuri în cazul incidentelor.
Mai multe informații despre activitatea Sofacy din 2018 și detalii tehnice despre evoluția instrumentelor folosite pot fi găsite pe Securelist.com.