Get this Widget
Cursul BNR
22 Ian 2018
 EURO = 4.6656 RON
 USD = 3.8059 RON
Cursul BNR
19 Ian 2018
 EURO = 4.6614 RON
 USD = 3.7984 RON
Mountain View
Mountain View

Sofacy în 2017: interesul s-a mutat de la NATO și Ucraina, către Est

0

Echipa GREAT (Global Research and Analysis Team) de la Kaspersky Lab a publicat o prezentare generală a activității grupării Sofacy (cunoscută și sub numele de APT 28 sau Fancy Bear) în 2017, pentru a ajuta organizațiile din întreaga lume să înțeleagă mai bine și să se protejeze împotriva acesteia.

Sofacy este un grup de spionaj cibernetic extrem de activ și de prolific. În 2016, amenințarea a ajuns în atenția publicului odată cu un raport care indica prezența sa, alături de APT29, în rețeaua DNC (Comitetul Democratic Național) din Statele Unite, dar aceasta este doar o parte a poveștii.

Echipa GREAT de la Kaspersky Lab urmărește grupul Sofacy, vorbitor de limba rusă, de mulți ani, iar în 2017 a prezentat un raport complex privind cele mai noi instrumente, tehnici și ținte vizate de grupare.

Iată care au fost principalele descoperiri:
  • În 2017, activitatea Sofacy nu s-a mai concentrat atât de mult pe ținte care aveau legătură cu NATO și Ucraina, ci s-a reorientat către finalul anului spre Asia Centrală și de Est.
  • La începutul anului s-a finalizat campania din ultimele luni ale lui 2016 – campania de phishing direcționat Dealers’ Choice, care a vizat organizații care aveau legătură cu interesele diplomatice și militare ale NATO și ale Ucrainei. Extinderea globală a campaniei a fost remarcabilă – atât KSN (Kaspersky Security Network), cât și surse externe au confirmat ținte din Armenia, Azerbaidjan, Franța, Germania, Irak, Italia, Kârgâzstan, Maroc, Elveția, Ucraina, Statele Unite, Vietnam, Turcia, Polonia, Bosnia și Herțegovina, Coreea de Sud, Letonia, Georgia, Australia, Suedia și Belgia.
  • În prima parte a anului s-a observat utilizarea pentru spear-phishing a unui instrument de tip zero day care profita de o vulnerabilitate Microsoft Office (CVE-2017-0262) și de o vulnerabilitate de tip escaladare de privilegii „use-after-free” (CVE-2017-0263). Acest instrument a fost folosit pentru a ataca, în principal, ținte NATO din Europa, cu ajutorul conținutului legat de conflictul militar sirian.
  • Până la mijlocul lui 2017, detectările backdoor-ului SPLM al amenințării Sofacy au dezvăluit o țintă importantă – statele ex-sovietice din Asia Centrală. Profilul țintelor includea organizațiile comerciale și militare din zona apărării și telecomunicațiile. Una dintre țintele SPLM descoperite de cercetători a fost o firmă de audit și consultanță din Bosnia și Herțegovina.
  • Cercetătorii au mai descoperit că mecanismul Zebrocy de payload și livrare folosit de Sofacy a fost modificat pentru a lovi o serie de ținte, reduse la număr și extrem de specifice, din totalul victimelor. Pentru aceste atacuri, conținutul avea legătură cu cereri de viză și imagini scanate, administrația controlului de frontieră și alte note administrative. Se pare că țintele atacate proveneau din Orientul Mijliciu, Europa și Asia și erau entități industriale, de tehnologie, guvernamentale și diplomatice, printre altele.
  • Țintele atacurilor Zebrocy și SPLM au fost detectate în: Afganistan, Armenia, Australia, Azerbaidjan, Bangladesh, Belgia, China, Germania, Estonia, Finlanda, Georgia, Israel, India, Iordan, Kuwait, Kârgâzstan, Kazahstan, Liban, Lituania, Mongolia, Malaysia, Olanda, Oman, Pakistan, Polonia, Arabia Saudită, Africa de Sud, Coreea de Sud, Suedia, Elveția, Tadjikistan, Turkmenistan, Turcia, Ucraina, Emiratele Arabe Unite, Regatul Unit, Statele Unite, Uzbekistan, și Bosnia și Herțegovina.
  • De-a lungul anului 2017, o parte din infrastructura Sofacy a fost făcută publică, așa că cercetătorii se așteaptă să vadă schimbări la nivelul acesteia în 2018.

“Sofacy este una dintre cele mai active amenințări pe care le monitorizăm și care continuă să atingă noi ținte la scară globală. Datele și analizele noastre arată că în 2017 atacatorii și-au optimizat arsenalul de instrumente pe măsură ce au trecut de la atacurile la adresa NATO, la zona Orientului Mijlociu și a Asiei Centrale și apoi la est. Campaniile în masă par să fi fost înlocuite de tehnici de nișă, folosind instrumente ca Zebrocy și SPLM.” spune Kurt Baumgartner, Principal Security Researcher la Kaspersky Lab.

Recomandările Kaspersky Lab pentru a rămâne în siguranță

În cazul unui grup ca Sofacy, odată detectat într-o rețea, este important să fie verificate istoricul de autentificare și cazurile neobișnuite de acces al administratorilor, să fie scanate și verificate într-un mediu izolat toate fișierele primite și să fie folosită autentificarea în doi pași pentru servicii precum email-ul și accesul la VPN.

Informațiile din rapoartele de specialitate și regulile YARA vă ajută să detectați mai ușor prezența grupului Sofacy.

Autor: Mihai Colț

 

Facebook Comments

Share.

Leave A Reply