Il Global Research and Analysis Team di Kaspersky Lab ha pubblicato un’indagine sull’attività nel 2017 del gruppo criminale Sofacy, anche noto come APT 28 e Fancy Bear, per aiutare le organizzazioni di tutto il mondo a comprendere meglio e proteggersi dall’attività nociva del gruppo.
Sofacy è un gruppo di cyberspionaggio estremamente attivo e prolifico. La rivelazione, nel 2016, della sua presenza – insieme ad APT29 – nel network del Comitato nazionale democratico (DNC) degli Stati Uniti ha attirato l’attenzione dei media ma si tratta solo di una piccola parte della storia.
[amazon_link asins=’B01LEI5GWI,B00GGJ5N1A,B00A88KHYI,1520569912,1593271441,8850332009,8807883600′ template=’ProductCarousel’ store=’dmo0e-21′ marketplace=’IT’ link_id=’3f9be6cd-17d3-11e8-9414-d7dffc898341′]
Il Global Research and Analysis Team di Kaspersky Lab ha studiato l’attività del gruppo di lingua russa per molti anni e nel 2017 ha descritto nel dettaglio i suoi ultimi tool, tecniche e obiettivi.
Di seguito le principali scoperte pubblicate nel report:
- All’inizio del 2017 il focus dell’attività di Sofacy era su obiettivi legati alla NATO e all’Ucraina, mentre nel corso dell’anno l’interesse del gruppo si è spostato verso l’Asia centrale e persino più a est entro la fine dell’anno.
- Il 2017 è iniziato con il compimento della campagna di spear-phishing Dealers’ Choice lanciata alla fine del 2016, che ha preso di mira organizzazioni legate agli interessi diplomatici e militari della NATO e dell’Ucraina. La portata globale di questa campagna è stata significativa: i dati del KSN e di terze parti confermano obiettivi in Armenia, Azerbaigian, Francia, Germania, Iraq, Italia, Kirghizistan, Marocco, Svizzera, Ucraina, Stati Uniti, Vietnam, Turchia, Polonia, Bosnia ed Erzegovina, Corea del Sud, Lettonia, Georgia, Australia, Svezia e Belgio.
- L’inizio dell’anno ha inoltre visto l’utilizzo nelle attività di spear-phishing di zero day che sfruttavano una vulnerabilità di Microsoft Office (CVE-2017-0262) e un exploit use-after-free per l’aumento dei privilegi (che sfruttava CVE-2017-0263), usato per colpire casualmente obiettivi NATO in Europa, generalmente con informazioni sul conflitto militare siriano.
- A metà del 2017, i rilevamenti della backdoor SPLM di Sofacy hanno rivelato un crescente interesse per le ex repubbliche sovietiche in Asia centrale. I profili degli obiettivi includono organizzazioni commerciali e militari legate alla difesa e aziende di telecomunicazioni. Un obiettivo anomalo di SPLM scoperto dai ricercatori era un’azienda di revisione e consulenza situata in Bosnia ed Erzegovina.
- Contemporaneamente, i ricercatori hanno scoperto che il payload Zebrocy di Sofacy e il suo meccanismo di distribuzione era stato modificato e usato per colpire un piccolo, specifico sottogruppo di obiettivi. In questi attacchi, i documenti erano legati a domande di visto e immagini scansionate, controllo delle frontiere e altre note amministrative. La geografia dell’attacco sembrava più vasta, con obiettivi in Medio Oriente, Europa e Asia, e sono stati principalmente prese di mira organizzazioni diplomatiche e governative, industriali e tecnologiche.
- Sono stati rilevati obiettivi degli attacchi Zebrocy e SPLM in: Afghanistan, Armenia, Australia, Azerbaigian, Bangladesh, Belgio, Cina, Germania, Estonia, Finlandia, Georgia, Israele, India, Giordania, Kuwait, Kirghizistan, Kazakistan, Libano, Lituania, Mongolia, Malesia, Paesi Bassi, Oman, Pakistan, Polonia, Arabia Saudita, Sudafrica, Corea del Sud, Svezia, Svizzera, Tagikistan, Turkmenistan, Turchia, Ucraina, Emirati Arabi Uniti, Regno Unito, Stati Uniti, Uzbekistan e Bosnia ed Erzegovina.
- Nel 2017 è stata rivelata parte dell’infrastruttura di Sofacy, di conseguenza i ricercatori si aspettano di vedere cambiamenti nel corso del 2018.
“Sofacy è uno dei gruppi criminali più attivi tra quelli che monitoriamo e continua a colpire i propri obiettivi tramite spear-phishing, spesso su scala globale. I nostri dati e rilevamenti mostrano che nel 2017 il gruppo criminale ha ulteriormente sviluppato il proprio toolset, passando da un’elevata attività di spear-phishing che prendeva di mira la NATO al focalizzarsi maggiormente sul Medio Oriente e sull’Asia centrale, fino a spingersi ancora più a Est alla fine dell’anno. Sembra, inoltre, che alle campagne di massa siano subentrate attività secondarie e malware che sfruttano tool come Zebrocy e SPLM”, ha commentato Kurt Baumgartner, Principal Security Researcher di Kaspersky Lab.
Una volta rilevata su un network la presenza di un gruppo come Sofacy, è importante controllare i login e gli accessi al sistema come amministratore insoliti, effettuare una scansione approfondita, spostare gli allegati in arrivo nella sandbox e usare l’autenticazione a due fattori per i servizi come l’email e la connessione VPN.
Per assicurarsi di scoprire la presenza del gruppo, è possibile ottenere informazioni importanti sui suoi obiettivi dai report di intelligence e potenti strumenti di rilevamento come le YARA rule. È inoltre importante avvalersi di una soluzione contro gli attacchi mirati, come Kaspersky Anti Targeted Attack Platform.
[amazon_link asins=’B01LEI5GWI,B00GGJ5N1A,B00A88KHYI,1520569912,1593271441,8850332009,8807883600′ template=’ProductCarousel’ store=’dmo0e-21′ marketplace=’IT’ link_id=’3f9be6cd-17d3-11e8-9414-d7dffc898341′]
