Gruparea Sofacy in 2017: interesul s-a mutat de la NATO si Ucraina, catre Est

Echipa GREAT (Global Research and Analysis Team) de la Kaspersky Lab a publicat o prezentare generala a activitatii gruparii Sofacy (cunoscuta si sub numele de APT 28 sau Fancy Bear) in 2017, pentru a ajuta organizatiile din intreaga lume sa inteleaga mai bine si sa se protejeze impotriva acesteia.

Context

Sofacy este un grup de spionaj cibernetic extrem de activ si de prolific. In 2016, amenintarea a ajuns in atentia publicului odata cu un raport care indica prezenta sa, alaturi de APT29, in reteaua DNC (Comitetul Democratic National) din Statele Unite, dar aceasta este doar o parte a povestii.

Echipa GREAT de la Kaspersky Lab urmareste grupul Sofacy, vorbitor de limba rusa, de multi ani, iar in 2017 a prezentat un raport complex privind cele mai noi instrumente, tehnici si tinte vizate de grupare.

sofacy atacuri

Iata care au fost principalele descoperiri:

  • In 2017, activitatea Sofacy nu s-a mai concentrat atat de mult pe tinte care aveau legatura cu NATO si Ucraina, ci s-a reorientat catre finalul anului spre Asia Centrala si de Est.
  • La inceputul anului s-a finalizat campania din ultimele luni ale lui 2016 – campania de phishing directionat Dealers’ Choice, care a vizat organizatii care aveau legatura cu interesele diplomatice si militare ale NATO si ale Ucrainei. Extinderea globala a campaniei a fost remarcabila – atat KSN (Kaspersky Security Network), cat si surse externe au confirmat tinte din Armenia, Azerbaidjan, Franta, Germania, Irak, Italia, Kargazstan, Maroc, Elvetia, Ucraina, Statele Unite, Vietnam, Turcia, Polonia, Bosnia si Hertegovina, Coreea de Sud, Letonia, Georgia, Australia, Suedia si Belgia.
  • In prima parte a anului s-a observat utilizarea pentru spear-phishing a unui instrument de tip zero day care profita de o vulnerabilitate Microsoft Office (CVE-2017-0262) si de o vulnerabilitate de tip escaladare de privilegii „use-after-free” (CVE-2017-0263). Acest instrument a fost folosit pentru a ataca, in principal, tinte NATO din Europa, cu ajutorul continutului legat de conflictul militar sirian.
  • Pana la mijlocul lui 2017, detectarile backdoor-ului SPLM al amenintarii Sofacy au dezvaluit o tinta importanta – statele ex-sovietice din Asia Centrala. Profilul tintelor includea organizatiile comerciale si militare din zona apararii si telecomunicatiile. Una dintre tintele SPLM descoperite de cercetatori a fost o firma de audit si consultanta din Bosnia si Hertegovina.
  • Cercetatorii au mai descoperit ca mecanismul Zebrocy de payload si livrare folosit de Sofacy a fost modificat pentru a lovi o serie de tinte, reduse la numar si extrem de specifice, din totalul victimelor. Pentru aceste atacuri,  continutul avea legatura cu cereri de viza si imagini scanate, administratia controlului de frontiera si alte note administrative. Se pare ca tintele atacate proveneau din Orientul Mijliciu, Europa si Asia si erau entitati industriale, de tehnologie, guvernamentale si diplomatice, printre altele.
  • Tintele atacurilor Zebrocy si SPLM au fost detectate in: Afganistan, Armenia, Australia, Azerbaidjan, Bangladesh, Belgia, China, Germania, Estonia, Finlanda, Georgia, Israel, India, Iordan, Kuwait, Kargazstan, Kazahstan, Liban, Lituania, Mongolia, Malaysia, Olanda, Oman, Pakistan, Polonia, Arabia Saudita, Africa de Sud, Coreea de Sud, Suedia, Elvetia, Tadjikistan, Turkmenistan, Turcia, Ucraina, Emiratele Arabe Unite, Regatul Unit, Statele Unite, Uzbekistan, si Bosnia si Hertegovina.
  • De-a lungul anului 2017, o parte din infrastructura Sofacy a fost facuta publica, asa ca cercetatorii se asteapta sa vada schimbari la nivelul acesteia in 2018.

“Sofacy este una dintre cele mai active amenintari pe care le monitorizam si care continua sa atinga noi tinte la scara globala. Datele si analizele noastre arata ca in 2017 atacatorii si-au optimizat arsenalul de instrumente pe masura ce au trecut de la atacurile la adresa NATO, la zona Orientului Mijlociu si a Asiei Centrale si apoi la est. Campaniile in masa par sa fi fost inlocuite de tehnici de nisa, folosind instrumente ca Zebrocy si SPLM.” spune Kurt Baumgartner, Principal Security Researcher la Kaspersky Lab.

Recomandarile Kaspersky Lab pentru a ramane in siguranta

In cazul unui grup ca Sofacy, odata detectat intr-o retea, este important sa fie verificate istoricul de autentificare si cazurile neobisnuite de acces al administratorilor, sa fie scanate si verificate intr-un mediu izolat toate fisierele primite si sa fie folosita autentificarea in doi pasi pentru servicii precum email-ul si accesul la VPN.

Informatiile din rapoartele de specialitate si regulile YARA va ajuta sa detectati mai usor prezenta grupului Sofacy. De asemenea, puteti investi intr-o solutie cum e KATA (Kaspersky anti-targeted-attack), care ofera procesare out-of-band.

Mai multe informatii, inclusiv detalii tehnice, pot fi gasite in raportul de pe Securelist: https://securelist.com/a-slice-of-2017-sofacy-activity/83930/.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply