Securitate — March 12, 2018 at 5:53 pm

Gruparea Sofacy isi schimba centrul de interes

by

Gruparea de limbă rusă Sofacy, cunoscută și ca APT28 sau Fancy Bear, își mută zona de interes către Orientul Îndepărtat, vizând în special domeniul militar și de apărare și organizații diplomatice – pe lângă țintele sale tradiționale, care au legătură cu NATO. Cercetătorii au descoperit că Sofacy se suprapune cu alți atacatori atunci când își alege victimele, inclusiv cu gruparea de limbă rusă Turla și cea de limbă chineză Danti. Demn de remarcat, ei au descoperit backdoor-urile Sofacy pe un server compromis anterior de grupul vorbitor de limbă engleză The Lamberts. Serverul aparține unui conglomerat militar și aerospațial din China.

Sofacy folosește spear-phishing și uneori tehnici de tip water-holing pentru a fura informații, inclusiv date de autentificare în diferite conturi, date sensibile și documente. De asemenea, este suspectat că ar fi trimis mesaje infectate către diferite ținte.

SAS_Infographics_Sofacys_shift_to_AsiaSofacy nu este singurul „prădător” care urmărește aceste regiuni și că uneori diferiți atacatori vizează aceleași ținte. În cazul Sofacy, cercetătorii au descoperit că programul Zebrocy a concurat pentru acces la victime cu grupările vorbitoare de limbă rusă Mosquito, care fac parte din Turla. Aici, backdoor-ul lor SPLM a concurat cu atacurile tradiționale Turla și cu atacurile de limbă chineză Danti. Printre ținte s-au numărat organizații guvernamentale, din domeniile tehnologic, științific și militar, din zona Asiei Centrale.

În unele cazuri, țintele păreau să fie vizate simultan de atacuri din partea SPLM și Zebrocy. Însă cea mai interesantă suprapunere este probabil cea dintre Sofacy și gruparea de limbă engleză the Lamberts. Legătura a fost descoperită după ce cercetătorii au detectat prezența Sofacy pe un sever cunoscut ca fiind compromis de programul malware Grey Lambert. Serverul aparține unui conglomerat din China care proiectează și produce tehnologii aerospațiale și de apărare aeriană.

Cu toate acestea, în exemplul de mai sus, vectorul inițial SPLM pentru Sofacy rămâne necunoscut. Acest lucru ridică o serie de posibilități ipotetice, inclusiv aceea că Sofacy ar putea folosi un exploit nou și încă nedetectat sau o nouă tulpină a backdoor-ului lor. O altă ipoteză ar fi că Sofacy a reușit cumva să aibă acces la canalele de comunicare Grey Lambert, pentru a-și descărca malware-ul. Ar putea, de asemenea, să însemne inclusiv că indicatorii Sofacy ar fi un indiciu fals, plantat anterior de Lambert. Cercetătorii cred că, cel mai probabil, un script necunoscut PowerShell sau o aplicație web legitimă, dar vulnerabilă, a fost exploatată pentru a încărca și executa codul SPLM în acest caz. Cercetările continuă.

Cercetătorii au descoperit, de asemenea, că Sofacy păstrează subdiviziuni distincte ale principalelor sale instrumente – cod, dezvoltare și modul cum țintesc SPLM (cunoscut și ca CHOPSTICK și Xagent), GAMEFISH and Zebrocy. SPLM este considerat instrumentul lor principal și selectiv, în timp ce Zebrocy este folosit pentru atacuri în masă. Potrivit cercetătorilor, la începutul anului 2018, Sofacy a vizat două mari organizații comerciale din China care au legătură cu apărarea aeriană, cu SPLM, și a folosit Zebrocy la scară mai mare, în Armenia, Turcia, Kazahstan, Tadjikistan, Afghanistan, Mongolia, China și Japonia.

Toate produsele Kaspersky Lab detectează și blochează toate atacurile Sofacy cunoscute, iar unele dezinfectări mai complexe s-ar putea să necesite un reboot.

Pentru organizații cu activități în domeniul militar, al apărării și al afacerilor externe, în regiunile afectate, Kaspersky Lab recomandă implementarea următoarelor măsuri pentru a nu cădea victimă unui atac direcționat avansat:

  • Folosiți o soluție de securitate corporate testată, alături de tehnologii împotriva atacurilor direcționate și informații despre amenințări. Acestea reușesc să detecteze atacuri direcționate complexe analizând anomaliile din rețea și le dau echipelor de securitate cibernetică vizibilitate totală asupra rețelei;
  • Oferiți personalului din domeniul securității acces la cele mai noi informații despre amenințări, pentru a avea instrumentele necesare cercetării și prevenirii atacurilor direcționate, cum ar fi indicatorii de compromitere (IOC), YARA și rapoarte personalizate despre amenințări;
  • Dacă descoperiți primele semne ale unui atac direcționat, luați în considerare serviciile administrate de protecție, care vă vor permite să detectați proactiv amenințări avansate, să reduceți timpul de întrerupere a activității și să asigurați luarea rapidă a primelor măsuri în cazul incidentelor.