«Лаборатория Касперского» опубликовала исследование, посвященное активности APT-группировки Sofacy в 2017 году. Анонимные взломщики, известные также под названиями APT28, Fancy Bear и Tsar Team, преимущественно атакуют частные и государственные организации в странах НАТО и их союзниках — на Украине, в Грузии и Прибалтике. С конца 2017 года преступники действуют также на Ближнем Востоке и в Центральной Азии.

Эксперты ИБ наблюдают за Sofacy с 2011 года, а внимание общественности группировка привлекла в 2016-м. Тогда хакеры совершили несколько целевых атак в европейских странах и опубликовали документы Всемирного антидопингового агентства (WADA) о применении запрещенных веществ крупными спортивными державами. В своих кампаниях Sofacy использует инструменты направленного фишинга наряду с постоянно меняющимся набором бэкдоров и уязвимостей нулевого дня.

В начале прошлого года взломщики собрали последние плоды атаки под кодовым названием Dealer’s Choice. Целевые рассылки зловредных писем, спуфинг и Flash-эксплойты позволили им установить вредоносное ПО на компьютеры в военных и дипломатических организациях стран НАТО и Украины. Облачная служба Kaspersky Security Network также зафиксировала заражения в Армении, Ираке, Гонконге, Королевстве Марокко и других странах по всему миру. Основной удар пришелся на конец 2016 года, однако по возвращении пользователей с новогодних каникул последовала новая волна.

В нескольких последующих атаках, которые были также направлены на натовские структуры, Sofacy использовала две уязвимости нулевого дня MS Office, чтобы установить на целевые компьютеры бэкдор GAMEFISH. Эту кампанию преступники построили на актуальности сирийской войны — зараженный документ назывался «Trump’s_Attack_on_Syria_English.docx». Под удар снова попали пользователи натовских стран.

К середине года взломщики сконцентрировались на коммерческих, военных и телекоммуникационных организациях в бывших советских республиках Средней Азии. В этих атаках использовался доработанный бэкдор SPLM, который стал модульным и научился красть файлы, отслеживать ввод текста на клавиатуре и даже запускать выполнение кода на зараженной машине.

Еще один зловред, который Sofacy обновила в 2017 году, известен ИБ-специалистам под именем Zebrocy. Взломщики применяли его для похищения заявлений на визу, отсканированных изображений и документов служб пограничного контроля. Жертвами Zebrocy стали многочисленные дипломатические организации наряду с научными институтами, промышленными предприятиями, пресс-центрами и НКО, работающими в социальной сфере. Среди особенностей зловреда эксперты «Лаборатории Касперского» отметили возможность отслеживать соединение с сетевыми дисками и похищать с них документы — файлы весом до 60 МБ с расширениями .doc/.docx, .xls/.xlsx, .ppt/.pptx, .exe, .zip и .rar.

Эксперты изучили инфраструктуру, на которой построены атаки Sofacy. Она объединяет множество командных серверов, хостинговые площадки с высокими гарантиями приватности, служебные электронные адреса, поддельные телефонные номера и придуманные ФИО. По словам авторов исследования, подобная информация помогает отследить провайдеров и поставщиков услуг, которыми пользуются злоумышленники, чтобы предугадать их дальнейшие шаги.

В ходе исследования аналитики смогли установить многие особенности Sofacy, способные повысить безопасность организаций перед атаками взломщиков. Детали будут раскрыты на предстоящей конференции Security Analyst Summit (SAS) 2018. Пока же эксперты «Лаборатории Касперского» рекомендуют внимательно относиться к аномальному поведению пользователей в корпоративных сетях, особенно если подозрительная активность связана с администраторскими учетными записями. Все поступающие вложения необходимо сканировать и тестировать в песочницах, а доступ к электронной почте и VPN должен быть защищен с применением двухфакторной аутентификации.

Категории: Аналитика, Мошенничество, Хакеры