Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Sednit: o lectură succintă

2016-11-23

Sednit este unul dintre grupurile cele mai notorii de atacatori cibernetici care operează în lume astazi. Activ încă din 2004 – sau chiar mai devreme – a intensificat, din păcate, activitatea în ultimii doi ani, din dorința de a ataca victimele cât mai puternic posibil.

Conștientizând acest lucru, ESET, lider global în domeniul securității, a urmărit neîncetat grupul Sednit până în acest moment, dovedindu-se a fi un exercițiu cu un nivel informativ ridicat. Acest experiment a avut ca rezultat o trilogie de lucrări, care detaliază multe aspecte unice pentru acest grup.

Acest articol oferă cititorilor o lectură succintă în ceea ce privește constatările echipei de cercetare de la ESET și un punct de informare extins cu privire la activitatea grupului Sednit. Cu toate acestea, vă recomandăm să citiți toate cele trei documente, care cuprind în detaliu activitățile și modul de acțiune al grupului :

Partea întâi: Apropierea de țintă

Țintele principale ale grupului Sednit dezvăluie o mulțime de lucruri legate de  motivațiile grupului, informații amplificate inclusiv prin analiza nivelului de sofisticare al atacurilor. Luați în considerare următoarele obiective:

  • Aprilie 2015: TV5Monde, o rețea de televiziune franceză
  • Mai 2015: Parlamentul German
  • Martie 2016: Comitetul Național Democrat American

De aici putem deduce două aspecte legate de atacurile inițiate de către acest grup. Primul, Sednit este mai mult decât încrezător în atacarea țintelor de rang înalt și al doilea, activitățile sale sunt conectate la geopolitica internațională.

ESET a putut să identifice lista țintelor prin descoperirea unei defecțiuni în cadrul uneia dintre campaniile de tip spearphishing ale grupului. Sednit utilizează Bitly pentru a prescurta URL-urile folosite în e-mailurile de phishing direcționate. Cu toate acestea, unul dintre conturi a fost lăsat din greșeală public, astfel putând fi vizualizate toate URL-urile scurtate.

Membrii grupării au inclus ]n atac persoane fizice și organizații cu adrese de Gmail, inclusiv ambasade ce aparțineau unor țări precum Algeria, Columbia, India, Irak, Coreea de Nord, Kârgâzstan și Liban; Ministerele Apărării din Argentina, Bangladesh, Coreea de Sud, Turcia și Ucraina; jurnaliști din Europa de Est; dizidenți politici ruși și membri ai instituțiilor NATO.

ESET a remarcat că “majoritatea obiectivelor identificate sunt legate de faptul că împărtășesc același punct de vedere în situația politică actuală din Europa de Est”.

În momentul în care sunt vizate astfel de persoane publice sau de grupuri, Sednit utilizează două metode principale de atac pentru a implementa software-ul malițios. În primul rând se ]ncearcă convingerea persoanei vizate să deschidă un atașament dintr-un e-mail, iar a două metodă constă în direcționarea către un site care conține un kit de exploatare personalizat (care va exploata defectele dintr-un sistem sau un dispozitiv). Cele mai multe provin de la un e-mail de tip phishing direcționat.

Ce este cu adevărat interesant cu privire la Sednit este abilitatea grupului de a identifica vulnerabilitățile de tip zero-day. Spre exemplu, doar în 2015, grupul a fost capabil să exploateze șase vulnerabilități de acest fel, demonstrând astfel un nivel ridicat de înțelegere și de calificare.

ESET a concluzionat: “În general, grupul Sednit este mereu în căutarea unor noi modalități de abordare a țintelor, atât cu strategii oportuniste, cât și prin dezvoltarea propriilor sale metode originale.”

Partea a doua: Observarea intrărilor și a ieșirilor

Odată ce Sednit a ajuns efectuat recunoașterea potențialelor ținte – prin utilizarea codurilor malware Seduploader sau Downdelph, de exemplu – grupul implementează, apoi, setul său de instrumente de spionaj, care oferă o monitorizare pe termen lung a dispozitivelor compromise.

Acest lucru se realizează, de obicei, prin utilizarea a două backdoor-uri de spionaj, Sedreco și Xagent și, ulterior, prin intermediul instrumentului de rețea, Xtunnel. Fără îndoială, aceste trei aplicații malițioase sunt fundamentale în înțelegerea și detectarea activităților derulate de Sednit.

În ceea ce privește Xagent, care are versiuni pentru Windows, Linux și iOS, ESET a remarcat: “Este un backdoor bine conceput, care a devenit pilot de spionaj malware din Sednit de-a lungul ultimilor ani. Capacitatea de a comunica prin HTTP sau prin e-mailuri un instrument versatil pentru operatori”.

Cu ajutorul flexibilului Sedreco, alcătuit dintr-un dropper și un payload malware persistent, ESET a observat faptul că acest backdoor extrem de util, utilizat de Sednit timp de mai mulți ani are abilitatea de a “încărca plugin-uri externe”.

În cele din urmă, Xtunnel, care modifică un dispozitiv compromis și îl transformă în mod eficient într-un pivot de comunicare în rețea, el pare a fi “de o mare importanță pentru operatorii Sednit”, a concluzionat ESET.

Partea a treia: Un Downloader misterios

Ultima parte a cercetării cu privire la gruparea Sednit se concentrează pe Downdelph, o bucată de malware în primă fază, care, în ciuda utilizării limitate de către atacatorii cibernetici, oferă o perspectivă uimitoare despre modul în care grupul abordează anumite ținte

Potrivit datelor de telemetrie de la ESET, acesta a fost implementat de șapte ori, dar Downdelph a fost, cu toate acestea, combinat cu un bootkit și un rootkit – cunoscute drept metode avansate de persistență în atac și de reziliență la ștergere.  Pare a fi o abordare aparte, dar s-a dovedit a avea un extrem succes în a permite grupului să opereze sub raza de acțiune a radarului.

Downdelph, denumit astfel din cauza faptului că este scris în limbajul de programare Delphi, tinde să lucreze astfel: se descarcă un fișier principal de configurare, se extinde lista serverelor C&C și este colectată câte o sarcină (payload) malware de la fiecare dintre acestea.

ESET a concluzionat: “Prin implementarea rară a codului în web, operatorii din grupul Sednit au reușit în aparență să evite să iasă în evidență în fața cercetătorilor malware timp de aproape doi ani, iar în combinația de metode avansate de persistență, a asigurat posibilitatea de menținere activă a monitorizării obiectivelor selectate, pe termen lung.”

 

 

EDITOR

 



Leave a Reply

Your email address will not be published. Required fields are marked *