Il Global Research and Analysis Team di Kaspersky Lab ha rilevato nuovi attacchi da parte del gruppo Sofacy che utilizza tecniche aggiornate in grado di agire in incognito e con elevata persistenza, progettate per perpetrare attività dannose all’interno del sistema attaccato
Sofacy (conosciuta anche con il nome di “Fancy Bear”, “Sednit”, “STRONTIUM” e “APT28”) è un gruppo di madrelingua russa attivo almeno dal 2008, che prendeva tendenzialmente di mira organizzazioni militari e governative di tutto il mondo. Dal momento in cui fu rilevato ufficialmente nel 2014, il gruppo non ha mai interrotto la propria attività. Inoltre, gli esperti di Kaspersky Lab hanno scoperto tool nuovi e molto evoluti nell’arsenale di Sofacy.
Il nuovo toolset si dimostra:
· Intercambiabile: i criminali utilizzano backdoor multiple per infettare la vittima con differenti tool dannosi, una delle quali serve come tool di “reinfezione” nel caso in cui l’altra venga bloccata o annullata da una soluzione di sicurezza.
· Modulare: i cirminali utilizzano un sistema di modularizzazione del malware, inserendo alcune funzionalità delle backdoor all’interno di differenti moduli in modo da nascondere le attività dannose nel sistema che è stato colpito. Questa tendenza è in crescita e Kaspersky Lab ne ha individuato una certa regolarità negli attacchi mirati.
· Air-gapped: in attacchi recenti (2015), il gruppo Sofacy ha fatto uso di una nuova versione del proprio impianto di USB stealing che permette di copiare i dati da computer air-gapped.
Tattiche di resilienza e tool di estrazione dati
Nel 2015, in quello che sembrava essere una nuova ondata di attacchi, un’organizzazione che opera nel campo della difesa è stata colpita da una nuova versione di AZZY – una backdoor che veniva generalmente usata da Sofacy per avere accesso alla macchina oggetto dell’attacco e capace di scaricare tool dannosi supplementari. I prodotti di Kaspersky Lab hanno bloccato con successo questo malware, esito questo che avrebbe dovuto essere definitivo. Successivamente però è successo qualcosa di strano: soltanto un’ora dopo il blocco del Trojan, i criminali avevano già messo a punto una nuova versione della backdoor e aveano provveduto a scaricarla sul PC vittima dell’attacco. Nonostante questa versione fosse in grado di eludere le usuali tecnologie AV è stata rilevata dal sottosistema Host Intrusion Prevention (HIPS).
Questo attacco ricorrente e fulmineo aveva attirato l’attenzione degli esperti di Kaspersky Lab al punto da indurli a effettuare ulteriori indagin dalle quali è emerso che questa nuova versione della backdoor non veniva scaricata attraverso un exploit zero-day (pratica consueta del gruppo Sofacy) ma attraverso un altro impianto che fu scoperto successivamente (e nominato dagli stessi autori “msdeltemp.dll”).
Il Trojan “msdeltemp.dll” è uno strumento di download che permette ai criminali di inviare comandi alla macchina infetta in modo da ricevere le informazioni da essa. Può anche essere utilizzato per caricare nel sistema un Trojan ancora più sofisticato. Se la backdoor secondaria viene bloccata da una soluzione di sicurezza, i criminali possono utilizzare il Trojan msdeltemp.dll per ottenere una nuova versione dal server C&C e reinstallarla nella macchina oggetto dell’attacco.
Questo è solo un esempio di come vengono sfruttate le backdoor multiple nelle tattiche di resilienza estrema. Questa tattica non è nuova e la sua implementazione da parte di Sofacy è stata in passato oggetto di attente analisi. Tuttavia, in precedenza Sofacy aveva utilizzato dropper per installare Ie due backdoor SPLM e AZZY. Se una di queste veniva rilevata, l’altra avrebbe garantito l’accesso ai criminali. La nuova ondata di attacchi è stata caratterizzata da un cambio di tattica: veniva scaricata una versione ricompilata di AZZY con lo scopo di sostituire quella bloccata ed evitare di dover iniziare da capo il processo di infezione.
Separare le funzioni di comunicazione del server C&C dalla backdoor principale è anche un modo per ridurre la visibilità di quest’ultima. Questo perchè non venivano trasmessi in modo diretto i dati all’esterno del computer infettato.
Oltre al cambio di tattica in termini di resilienza, gli esperti di Kaspersky Lab hanno rilevato nuove versioni dei moduli USB stealer di Sofacy, che permettono il furto di dati dalle reti air-gapped. Il modulo USBSTEALER ha lo scopo di monitorare i drive rimovibili e raccogliere da essi le informazioni, a seconda delle regole definite dai criminali. I dati rubati vengono copiati in una directory nascosta e poi recuperate dai criminali utilizzando uno degli impianti AZZY.
Le prime versioni della nuova generazione di moduli USB stealer sono datate Febbraio 2015 e rivolte esclusivamente a target di alto profilo.
“Generalmente, quando viene pubblicata una ricerca su determinati gruppi di cyber-spionaggio il gruppo reagisce fermando la propria attività o cambiando tattica e strategia repentinamente. Ma con Sofacy non è sempre così. Nonostante la loro attività fosse stata registrata più volte dalle community di sicurezza hanno continuato per parecchi anni a lanciare diversi attacchi. Nel 2015 la loro attività è cresciuta in modo significativo, impiegando non meno di cinque 0-day, il che ha reso Sofacy famosa per essere tra le realtà più prolifiche e dinamiche. Abbiamo ragione di credere che questi attacchi continueranno,” – ha affermato Morten Lehn, Managing Director di Kaspersky Lab Italia.
Strategie di protezione
I prodotti di Kaspersky Lab rilevano alcuni dei nuovi malware utilizzati da Sofacy con i seguenti nomi: Trojan.Win32.Sofacy.al, Trojan.Win32.Sofacy.be, Trojan.Win32.Sofacy.bf, Trojan.Win32.Sofacy.bg, Trojan.Win32.Sofacy.bi, Trojan.Win32.Sofacy.bj, Trojan.Win64.Sofacy.q, Trojan.Win64.Sofacy.s, HEUR:Trojan.Win32.Generic
Per proteggere un’organizzazione da attacchi mirati sofisticati, inclusi quelli di Sofacy, Kaspersky Lab suggerisce di utilizzare un approccio multi-livello che unisca:
· Tecnologie anti-malware tradizionali,
· Patch management,
· Rilevazione delle intrusioni host,
· Strategie whitelisting e default-deny.