Roma :: Indagine Kaspersky Lab: nel 2017 il nuovo obiettivo di Sofacy è stato l’Oriente.
ROMA :: 20/02/2018 :: Il Global Research and Analysis Team di Kaspersky Lab ha pubblicato un’indagine sull’attività nel 2017 del gruppo criminale Sofacy, anche noto come APT 28 e Fancy Bear, per aiutare le organizzazioni di tutto il mondo a comprendere meglio e proteggersi dall’attività nociva del gruppo.
Sofacy è un gruppo di cyberspionaggio estremamente attivo e prolifico. La rivelazione, nel 2016, della sua presenza – insieme ad APT29 – nel network del Comitato nazionale democratico (DNC) degli Stati Uniti ha attirato l’attenzione dei media ma si tratta solo di una piccola parte della storia.
Il Global Research and Analysis Team di Kaspersky Lab ha studiato l’attività del gruppo di lingua russa per molti anni e nel 2017 ha descritto nel dettaglio i suoi ultimi tool, tecniche e obiettivi.
Di seguito le principali scoperte pubblicate nel report:
All’inizio del 2017 il focus dell’attività di Sofacy era su obiettivi legati alla NATO e all’Ucraina, mentre nel corso dell’anno l’interesse del gruppo si è spostato verso l’Asia centrale e persino più a est entro la fine dell’anno.
Il 2017 è iniziato con il compimento della campagna di spear-phishing Dealers’ Choice lanciata alla fine del 2016, che ha preso di mira organizzazioni legate agli interessi diplomatici e militari della NATO e dell’Ucraina. La portata globale di questa campagna è stata significativa: i dati del KSN e di terze parti confermano obiettivi in Armenia, Azerbaigian, Francia, Germania, Iraq, Italia, Kirghizistan, Marocco, Svizzera, Ucraina, Stati Uniti, Vietnam, Turchia, Polonia, Bosnia ed Erzegovina, Corea del Sud, Lettonia, Georgia, Australia, Svezia e Belgio.
L’inizio dell’anno ha inoltre visto l’utilizzo nelle attività di spear-phishing di zero day che sfruttavano una vulnerabilità di Microsoft Office (CVE-2017-0262) e un exploit use-after-free per l’aumento dei privilegi (che sfruttava CVE-2017-0263), usato per colpire casualmente obiettivi NATO in Europa, generalmente con informazioni sul conflitto militare siriano.
A metà del 2017, i rilevamenti della backdoor SPLM di Sofacy hanno rivelato un crescente interesse per le ex repubbliche sovietiche in Asia centrale. I profili degli obiettivi includono organizzazioni commerciali e militari legate alla difesa e aziende di telecomunicazioni. Un obiettivo anomalo di SPLM scoperto dai ricercatori era un’azienda di revisione e consulenza situata in Bosnia ed Erzegovina.
Contemporaneamente, i ricercatori hanno scoperto che il payload Zebrocy di Sofacy e il suo meccanismo di distribuzione era stato modificato e usato per colpire un piccolo, specifico sottogruppo di obiettivi. In questi attacchi, i documenti erano legati a domande di visto e immagini scansionate, controllo delle frontiere e altre note amministrative. La geografia dell’attacco sembrava più vasta, con obiettivi in Medio Oriente, Europa e Asia, e sono stati principalmente prese di mira organizzazioni diplomatiche e governative, industriali e tecnologiche.
Sono stati rilevati obiettivi degli attacchi Zebrocy e SPLM in: Afghanistan, Armenia, Australia, Azerbaigian, Bangladesh, Belgio, Cina, Germania, Estonia, Finlandia, Georgia, Israele, India, Giordania, Kuwait, Kirghizistan, Kazakistan, Libano, Lituania, Mongolia, Malesia, Paesi Bassi, Oman, Pakistan, Polonia, Arabia Saudita, Sudafrica, Corea del Sud, Svezia, Svizzera, Tagikistan, Turkmenistan, Turchia, Ucraina, Emirati Arabi Uniti, Regno Unito, Stati Uniti, Uzbekistan e Bosnia ed Erzegovina.
Nel 2017 è stata rivelata parte dell’infrastruttura di Sofacy, di conseguenza i ricercatori si aspettano di vedere cambiamenti nel corso del 2018.
“Sofacy è uno dei gruppi criminali più attivi tra quelli che monitoriamo e continua a colpire i propri obiettivi tramite spear-phishing, spesso su scala globale. I nostri dati e rilevamenti mostrano che nel 2017 il gruppo criminale ha ulteriormente sviluppato il proprio toolset, passando da un’elevata attività di spear-phishing che prendeva di mira la NATO al focalizzarsi maggiormente sul Medio Oriente e sull’Asia centrale, fino a spingersi ancora più a Est alla fine dell’anno. Sembra, inoltre, che alle campagne di massa siano subentrate attività secondarie e malware che sfruttano tool come Zebrocy e SPLM”, ha commentato Kurt Baumgartner, Principal Security Researcher di Kaspersky Lab.
Una volta rilevata su un network la presenza di un gruppo come Sofacy, è importante controllare i login e gli accessi al sistema come amministratore insoliti, effettuare una scansione approfondita, spostare gli allegati in arrivo nella sandbox e usare l’autenticazione a due fattori per i servizi come l’email e la connessione VPN.
Per assicurarsi di scoprire la presenza del gruppo, è possibile ottenere informazioni importanti sui suoi obiettivi dai report di intelligence e potenti strumenti di rilevamento come le YARA rule. È inoltre importante avvalersi di una soluzione contro gli attacchi mirati, come Kaspersky Anti Targeted Attack Platform.
Per maggiori informazioni, compresi i dettagli tecnici, è possibile leggere il report completo su Securelist.com.