Cercetătorii din domeniul securității de la ESET au lansat ultima lucrare legată de grupul de spionaj cibernetic denumit Sednit, care a vizat peste 1000 de persoane de rang înalt cu atacuri de tip phishing și exploit-uri de tip zero-day, în încercarea de a fura informații confidențiale.
Gruparea Sednit, cunoscută și sub denumirile APT28, Fancy Bear, Pawn Storm sau Sofacy, este foarte experimentată. A fost implicată în activitatea infracțională încă din anul 2004 și a dezvoltat atacuri sofisticate care trec de securitatea tipică a rețelelor din cadrul organizațiilor afectate.
Cercetătorii de la ESET au investigat în mod activ activitățile grupului Sednit pe parcursul ultimilor doi ani și vor publica rezultatele cercetării lor în trei părți în decursul acestei luni.
În prima parte, denumită La drum cu Sednit: Apropierea de țintă, cercetătorii descriu țintele obișnuite ale grupului Sednit și tehnicile uzuale folosite pentru a compromite sistemele vizate.
Exemple mediatizate de profil înalt ale atacurilor anterioare legate de acest grup includ cazurile legate de Comitetul Democratic Național din SUA (DNC), Parlamentul German și rețeaua de televiziune franceză TV5Monde. Recenta breșă de date de la WADA a fost, de asemenea, atribuită grupului Sednit.
Cu toate acestea, victimele acestei grupări nu constau doar în organizații. ESET a descoperit atacuri ce vizau figuri importante din politica din Europa de Est, precum lideri din Ucraina, oficiali NATO și dizidenți politici ruși.
Prin urmare, ce este notabil în legătură cu atacurile comise de grupul Sednit?
Furtul datelor de autentificare pentru conturile de webmail
O tehnică des utilizată de către cei din grupul Sednit atunci când vizează o organizație este tentativa de a fura credențialele utilizatorului de la webmail. E-mailurile direcționate de tip phishing, spre exemplu, sunt trimise către publicul vizat și trimit la pagini false de conectare, unde utilizatorii sunt păcăliți să introducă numele de utilizator și parolele lor.
E-mailurile sunt concepute pe baza tehnicilor de inginerie socială pentru a înșela utilizatorii, care ar putea crede că trebuie să acționeze urgent ca urmare a e-mailului primit, în speranța că victimele cărora le sunt direcționate vor accesa un link în grabă, fără a sta să se gândească la potențialele consecințe ale acțiunilor lor.
Analiza de la ESET a descoperit cel puțin 1.888 de adrese unice de e-mail ce au fost vizate în perioada 16 martie - 14 septembrie 2015, iar cele mai multe atacuri au avut loc în zilele de luni sau de vineri.
În această lucrare, cercetătorii de la ESET sugerează că vârfurile pot corespunde lansării unor noi campanii de phishing.
E-mailuri malițioase
Cei de la Sednit nu sunt timizi atunci când vine vorba de abuzul prin intermediul e-mailurilor pentru a infecta computerele persoanelor vizate – fie prin atașarea unui fișier malițios, fie prin direcționarea la un site web care conține un kit personalizat de exploit.
În cazul atașamentului din cadrul unui e-mail malițios, grupul a exploatat vulnerabilitățile identificate la Microsoft Word, Microsoft Excel, Adobe Flash și Adobe Reader.
În exemplul următor, putem observa un atașament malițios în cadrul unui e-mail care pare a fi primit de la Uniunea Academică din Ucraina, unde sunt prezentate presupuse relații între Rusia și Europa:
În acest caz particular, fișierul RTF atașat exploatează o vulnerabilitate pentru a trimite coduri malițioase adiționale către computerul victimelor.
În cazul altor atacuri malware comise de către grupul Sednit, au fost create site-uri web false care găzduiau malware, ademenind cititorii cu titluri legitime de articole de știri.
Spre exemplu,
- “Avantajul militar din zona de vest se erodează, se avertizează într-un raport”
- “În ciuda atacurilor grupării ISIS, Coreea de Nord rămâne alma mater în ceea ce privește amenințările globale”
- “Războiul este un lucru serios: o confruntare Rusia-NATO nu mai este doar o ficțiune”
- “Rusia avertizează Turcia cu privire la incidentul din Marea Egee”
- “Irakul avertizează în legătură cu atacurile de la Paris, înainte de asalt”
Cine este atacat?
Cele mai multe ținte descoperite în cadrul cercetării de la ESET au conturi de Gmail pentru adresele de e-mail, majoritatea aparținând persoanelor fizice.
Cu toate acestea, următoarele organizații care folosesc Gmail au fost identificate în listă:
- Ambasade ce aparțin țărilor precum Algeria, Brazilia, Columbia, Djibouti, India, Irak, Coreea de Nord, Kârgâzstan, Liban, Myanmar, Pakistan, Africa de Sud, Turkmenistan, Emiratele Arabe Unite, Uzbekistan și Zambia.
- Ministere de Apărare din Argentina, Bangladesh, Coreea de Sud, Turcia și Ucraina.
Mai mult de atât, țintele individuale au inclus lideri politici și șefi ai poliției din Ucraina, membri ai instituțiilor NATO, membri ai Partidului Libertății Oamenilor, dizidenți politici ruși – jurnaliști stabiliți în Europa de Est, academicieni care vizitau universități din Rusia și organizații cecene.
Utilizarea vulnerabilităților de tip zero-day
În primul rând, este vorba de utilizarea vulnerabilităților de tip zero-day – creșterea șanselor de a compromite cu succes un sistem vizat cu o implicare minimă a utilizatorului.
Precum documentează cercetătorii de la ESET, doar în anul 2015, grupul a exploatat nu mai puțin de șase vulnerabilități de acest tip în ceea ce privește Windows, Adobe Flash și Java.
Este puțin probabil ca o grupare de duzină să facă uz de atât de multe vulnerabilități necunoscute anterior, cărora nu le-au fost efectuate patch-uri din cauza faptului că ar fi fost nevoie de abilități, timp și resurse semnificative pentru a fi descoperite și exploatate.
În plus, așa cum va fi descris în a doua și a treia parte a cercetării legate de Sednit, grupul a creat o mulțime de programe personalizate, backdoor-uri modulare, bootkit-uri și rootkit-uri în scopul de a susține spionajul membrilor acestui grup.
Atribuire
Nivelul de sofisticare demonstrat de cei de la Sednit subliniază convingerea comună că este vorba în acest caz de un grup de hackeri sponsorizați de stat.
În mod curios, investigația a determinat momentul zilei în care atacatorii păreau să opereze:
“Interesant de menționat este că distribuția orelor se potrivește cu programul de lucru între 9 și 17 în zona UTC+3 și uneori, cu o oarecare activitate în timpul serii.”
Au existat păreri care au atribuit în mod direct activitățile grupului Sednit unor entități din Rusia.
Este indicat ca utilizatorii să citească raportul și să își creeze propria opinie cu privire la posibila identitate sau apartenență a atacatorilor și să vizualizeze indicatorii de compromis care ar putea să îi ajute să determine dacă ei înșiși au căzut pradă înșelătoriilor derulate de grupul Sednit.
Pentru mai multe informații, citiți raportul efectuat de echipa ESET: La drum cu Sednit: Apropierea de țintă și urmăriți contul ESET de pe Github.
GRAHAM CLULEY
CORESPONDENT INDEPENDENT
Lasa un comentariu