Российская APT-группа, замешанная в идущих атаках против военных и политических целей в Восточной Европе и против НATO, может быть также связана со шпионской кампанией MiniDuke, всплывшей более года назад.

Названные группой APT28 в недавно опубликованном отчете компании FireEye российские хакеры нацеливались на восточноевропейские правительства и военные организации, правительство Грузии, а также НАТО и Организацию по безопасности и сотрудничеству в Европе (ОБСЕ). Группа, по словам FireEye, действует как профессиональная команда с признаками долговременного планирования разработки программного обеспечения и компетентного применения оперативных тактик. Как сообщается в отчете, она действует в рабочие часы по московскому времени и применяет фишинг, нацеленный на представителей правительств и армий, имеющих политическое и стратегическое значение для российского государства.

Главный антивирусный эксперт Центра глобальных исследований и анализа (Global Research and Analysis Team, GReAT) «Лаборатории Касперского» Александр Гостев сообщил, что это группа, которая также известна под именем Sofacy и которая имеет множество связей с кампанией MiniDuke. Кампания MiniDuke также проводилась для политического и военного шпионажа, но была основана на ряде необычных тактик в стиле беспорядочных атак на 59 жертв в 23 странах, большинство из которых европейские.

Как и MiniDuke, APT28 для проникновения в сети организаций применяет фишинговые электронные письма. Эти сообщения содержат поддельные документы, несущие инфекцию, которая шифрует похищенную информацию перед отправкой на сервер управления и контроля.

Лаура Галанте (Laura Galante), менеджер по разведке угроз в FireEye, сообщила, что пока не было возможности определить, насколько успешна была APT28 в атаках на эти три конкретных набора целей.

«Это вопрос пока что открыт, — рассказала Галанте. — Мы можем обнаруживать их цели в Восточной Европе по используемым приманкам и доменам, которые они регистрируют, но у нас нет четкой картины того, что они делают с целями, которые способны скомпрометировать. Если вы можете залезть в электронную почту восточноевропейского военного атташе, что делать с украденными сообщениями? Я бы поставила на то, что они, вероятно, используют это для принятия собственных политических решений и для формирования своей позиции в военных и политических переговорах».

Галанте сообщила, что зловреды и инструменты атаки регулярно обновлялись и отлаживались с 2007 года. Платформа разработки гибкая и рассчитана на долговременное использование, и программисты квалифицированы не только в построении зловредов, но и в реализации барьеров, препятствующих обратной инженерии и другим методам экспертизы.

В своем отчете FireEye отмечает, что образцы зловреда содержат настройки на русском языке и компилировались в русскоязычной среде с 2007 года — более 96% образцов были скомпилированы между понедельником и пятницей, 89% — между 8 утра и 6 часами вечера в часовом поясе UTC+4.

Три основные цели имеют политическое или военное значение для Российской Федерации. Атаки на одну из целей, грузинское правительство, возросли после войны с Грузией 2008 года и последующего укрепления связей этой страны с Западом. В частности, проводились атаки против грузинских министерства внутренних дел и министерства обороны. Были замечены целевые фишинговые атаки, связанные с конкретными людьми или организациями в обоих министерствах, все с различными эксплойтами и для уязвимости в Microsoft Office.

«В общем, группа полагается на старые эксплойты, такие как CVE-2012-0158, и не похоже, чтобы они обладали слишком уж крутыми техническими умениями, как другие группы, например Turla«, — сообщил Гостев.

Были также обнаружены отдельные атаки против одного из восточноевропейских министерств иностранных дел, польского правительства, НATO, ОБСЕ, военных атташе, работающих в восточноевропейских странах, и даже посетителей европейских военных выставок. Каждая проводилась по шаблону, схожему с другими атаками APT28, как сообщила FireEye.

«Зловреды, использованные в этих атаках, имеют несколько интересных функций, но в смысле проникновения в сети они все еще полагаются на целевой фишинг, — сказала Галанте. — Им все еще приходится рассчитывать на ошибку пользователя, чтобы проникнуть в сеть».

Зловред, по словам Галанте, создан самой группой. Как только жертва открывает фишинговое письмо и запускает зловреда, скрытого в документе Office, дроппер загружает загрузчик Sofacy, который скачивает с сервера управления и контроля зловред второго этапа атаки. Устанавливается бэкдор, способный практически на все, от исполнения шелл-кода до кражи учетных данных и системного мониторинга. Затем на машину устанавливаются имплантаты, содержащие функции против обратной инженерии и статического анализа зловреда. Украденные данные при перемещении от жертвы к узлу управления защищаются шифрованием RSA.

По словам Галанте, в отличие от раскрытых китайских APT-групп, российские группы обычно не крадут интеллектуальную собственность.

«В случае российской группы набор целей узок и тип операций отличен от краж интеллектуальной собственности и финансовых данных, на которых фокусируются китайские группы, — сказала Галанте. — Основная часть китайских групп охотится за торговыми секретами, интересными государственной промышленности Китая. Конечно, часть информации, похищаемой китайскими группами, имеет военное и политическое применение, но отличительной ее чертой являются секреты из экономических секторов».

Категории: Главное, Уязвимости