Cercetatorii Kaspersky Lab au observat ca gruparea de limba rusa Sofacy, cunoscuta si ca APT28 sau Fancy Bear, isi muta zona de interes catre Orientul Indepartat, vizand in special domeniul militar si de aparare si organizatii diplomatice – pe langa tintele sale traditionale, care au legatura cu NATO. Grupul foloseste metode sofisticate si este banuit ca ar fi atacat in trecut tinte din Georgia, din Ucraina, din diverse tari NATO in 2017 a avut in vizor campania lui Emmanuel Macron.
Grupul de hackeri in cauza ar fi luat fiinta acum aproape un deceniu, iar surse din serviciile secrete americane cred ca acest grup lucreaza in slujba agentiei militare de securitate GRU din Rusia. Nu se stie cat de mare este, insa ii sunt atribuite multe atacuri de mai multe tipuri. Trebuie precizat ca atribuirea atacurilor informatice este in general dificila, cu atat mai mult cand avem de-a face cu grupuri atat de sofisticate finantate de un stat mare.
Despre Fancy Bear se scria la final de 2016 ca ar fi urmarit fiecare miscare a artileriei armatei din Ucraina datorita unui malware care a infectat telefoanele cu Android ale soldatilor, scria Reuters.
Cei de la Kaspersky Lab au descoperit ca Sofacy se suprapune cu alti atacatori atunci cand isi alege victimele, inclusiv cu gruparea de limba rusa Turla si cea de limba chineza Danti. Demn de remarcat, ei au descoperit backdoor-urile Sofacy pe un server compromis anterior de grupul vorbitor de limba engleza The Lamberts. Serverul apartine unui conglomerat militar si aerospatial din China.
Sofacy este un grup de spionaj cibernetic foarte activ si prolific, pe care cercetatorii Kaspersky Lab il urmaresc de mai multi ani. In luna februarie, Kaspersky Lab a publicat un rezumat al activitatilor gruparilor Sofacy pe anul 2017, dezvaluind o miscare graduala de la tinte legate de NATO, catre Orientul Mijlociu, Asia Centrala si mai departe. Sofacy foloseste spear-phishing si uneori tehnici de tip water-holing pentru a fura informatii, inclusiv date de autentificare in diferite conturi, date sensibile si documente. De asemenea, este suspectat ca ar fi trimis mesaje infectate catre diferite tinte.
Noile descoperiri arata ca Sofacy nu este singurul „pradator” care urmareste aceste regiuni si ca uneori diferiti atacatori vizeaza aceleasi tinte. In cazul Sofacy, cercetatorii au descoperit ca programul Zebrocy a concurat pentru acces la victime cu gruparile vorbitoare de limba rusa Mosquito, care fac parte din Turla. Aici, backdoor-ul lor SPLM a concurat cu atacurile traditionale Turla si cu atacurile de limba chineza Danti. Printre tinte s-au numarat organizatii guvernamentale, din domeniile tehnologic, stiintific si militar, din zona Asiei Centrale.
In unele cazuri, tintele pareau sa fie vizate simultan de atacuri din partea SPLM si Zebrocy. Insa cea mai interesanta suprapunere este probabil cea dintre Sofacy si gruparea de limba engleza the Lamberts. Legatura a fost descoperita dupa ce cercetatorii au detectat prezenta Sofacy pe un sever cunoscut ca fiind compromis de programul malware Grey Lambert. Serverul apartine unui conglomerat din China care proiecteaza si produce tehnologii aerospatiale si de aparare aeriana.
Cu toate acestea, in exemplul de mai sus, vectorul initial SPLM pentru Sofacy ramane necunoscut. Acest lucru ridica o serie de posibilitati ipotetice, inclusiv aceea ca Sofacy ar putea folosi un exploit nou si inca nedetectat sau o noua "tulpina" a backdoor-ului lor. O alta ipoteza ar fi ca Sofacy a reusit cumva sa aiba acces la canalele de comunicare Grey Lambert, pentru a-si descarca malware-ul. Ar putea, de asemenea, sa insemne inclusiv ca indicatorii Sofacy ar fi un indiciu fals, plantat anterior de Lambert. Cercetatorii cred ca, cel mai probabil, un script necunoscut PowerShell sau o aplicatie web legitima, dar vulnerabila, a fost exploatata pentru a incarca si executa codul SPLM in acest caz. Cercetarile continua.
„Grupul Sofacy este descris uneori ca imprudent si necugetat, dar dupa cum l-am vazut noi, poate fi pragmatic, rezervat si agil”, a spus Kurt Baumgartner, Principal Security Researcher, Kaspersky Lab. „Nu s-a vorbit prea mult despre activitatea lor in Est pana acum, dar in mod cert nu sunt singura grupare interesata de aceasta regiune sau chiar de aceleasi tinte. Pe masura ce amenintarile cresc si devin mai complexe, s-ar putea sa gasim mai multe exemple de suprapunere a tintelor – ceea ce ar putea explica de ce numeroase grupuri verifica prezenta altor intrusi inainte de a-si lansa atacurile.”
Potrivit cercetatorilor, la inceputul anului 2018, Sofacy a vizat doua mari organizatii comerciale din China care au legatura cu apararea aeriana, cu SPLM, si a folosit Zebrocy la scara mai mare, in Armenia, Turcia, Kazahstan, Tadjikistan, Afghanistan, Mongolia, China si Japonia.
Toate produsele Kaspersky Lab detecteaza si blocheaza toate atacurile Sofacy cunoscute, iar unele dezinfectari mai complexe s-ar putea sa necesite un reboot.
1
0
