Revelarea grupului Sednit: O privire mai atentă la software-ul folosit


Experții din domeniul securității de la ESET au lansat ultimele două părți ale noii cercetări legate de operațiunile notoriului grup de hacking, denumit Sednit, care – așa cum a fost precizat anterior – a vizat peste 1000 de persoane de rang înalt, trimițând atacuri de tip phishing și exploit-uri zero-days.

Grupul Sednit, cunoscut și sub denumirea de APT28, Fancy Bear, Pawn Storm sau Sofacy, este foarte experimentat și a fost implicat în activitatea infracțională încă din anul 2004. Acest grup a dezvoltat atacuri sofisticate care trec de securitatea tipică a rețelelor din cadrul organizațiilor afectate.

În partea a două a cercetării, ce poartă titlul La drum cu Sednit: Observarea intrărilor și a ieșirilor, analiștii specializați în amenințări informatice au observat în ansamblu software-ul utilizat de către grupul Sednit pentru a spiona grupul țintă și pentru a fura informații confidențiale.

Setul de instrumente de spionaj al Sednit este implementat numai pe dispozitivele considerate interesante pentru grupul de hacking, după o perioadă de recunoaștere.

Acel set are trei componente principale, fiind constituit din două backdoor-uri de spionaj (SEDRECO și XAGENT) și un utilitar de rețea denumit XTUNNEL.

Backdoor-urile de spionaj SEDRECO și XAGENT

De ce să ai două backdoor-uri de spionaj, în detrimentul unuia singur? Ei bine, explicația este destul de simplă – potrivit echipei de cercetare de la ESET: “implementarea ambelor bakdoor-uri în același timp permite acestora să rămână în contact, în cazul în care unul dintre ele este detectat.”

Odată plasat, troianul backdoor SEDRECO oferă operatorilor săi de la distanță o varietate de funcții – inclusiv capacitatea de a citi și de a scrie fișiere, de a activa keylogging-ul pentru memora pe furiș apăsarea tastelor din partea utilizatorului (implicit, memorarea parolelor), de a examina hard-ul de pe computerul victimei și de a realiza harta resurselor de rețea.

Cercetarea realizată de ESET a descoperit că SEDRECO are abilitatea de a rula plugin-uri externe, descărcate și rulate ca fiind solicitate de un server de comandă și control (C&C) sub influența atacatorilor.

Un plugin SEDRECO identificat de către cercetători partaja coduri cu un modul utilizat de XAGENT, celălalt backdoor folosit de gruparea Sednit.

XAGENT poate extrage informații de pe calculatoarele compromise prin intermediul HTTP și al e-mailului, lucrând alături de alte componente din setul de instrumente, precum USBSTEALER, care încearcă să fure date de pe computerele cu sisteme air-gap. Pe durata cercetării, cei de la ESET au putut să preia codul sursă Xagent complet, acesta fiind destinat să lucreze în cadrul sistemului de operare GNU/Linux.

Lista parțială a directoarelor fișierelor sursă Xagent

 

Există variante ale XAGENT cunoscute că ar fi utilizate în mod activ de către Sednit din noiembrie 2012 până în prezent, numărând printre victimele sale computerele infectate de la Comitetul Național Democrat (DNC), organul de conducere al Partidului Democrat din SUA.

Deși versiunile lui XAGENT au fost văzute pe Windows, Linux și iOS, echipa de cercetători de la ESET consideră că nu ar fi deloc surprinzător să existe, de asemenea, o versiune creata pentru alte sisteme de operare, cum ar fi Android.

Malware-ul atent conceput, XAGENT, este format dintr-o serie de module care furnizează funcționalități diferite, iar probele examinate de către cercetătorii de la ESET indică faptul că banda de hacking Sednit adaptează fiecare atac pentru fiecare obiectiv în parte. Acest lucru evită, de asemenea, riscul de a expune toate codurile ce țin de XAGENT în fața cercetătorilor din domeniul securității.

XTUNNEL

XTUNNEL este utilitarul proxy de rețea utilizat de grupul Sednit pentru a retransmite traficul de rețea dintre serverul C&C pe internet și calculatoarele infectate pe rețelele lor locale.

Prima mostră cunoscută de tipul XTUNNEL datează din mai 2013, iar versiunile ulterioare au fost găsite pe serverele operate de Comitetul Național Democrat în mai 2016 și de parlamentul german în iunie 2015, codul continuând să fie dezvoltat de atunci.

Cercetătorii susțin că au fost implicate resurse semnificative în dezvoltarea XTUNNEL, SEDRECO și a XAGENT, așa cum este descris în partea a doua a cercetării:

“Pentru a-și desfășura activitățile de spionaj, grupul Sednit se bazează în principal pe două backdoor-uri, Xagent și Sedreco, care au fost dezvoltate în mod intens în ultimii ani. În mod similar, a fost investit un efort notabil în ceea ce privește Xtunnel, în scopul ca acesta să acționeze pe furiș. În general, aceste trei aplicații ar trebui să reprezinte un interes general pentru oricine dorește să înțeleagă și să detecteze activitățile grupului Sednit.”

Cu toate acestea, ar putea fi o greșeală să credem că acestea sunt singurele arme din arsenalul deținut de Sednit. Spre exemplu, computerele vizate sunt în mod constant expuse la risc prin instrumentele disimulate de recuperare a parolei, unele dintre acestea fiind concepute pentru atacuri speciale asistate de utilitare care efectuează capturi de ecran.

Pentru mai multe detalii, citiți lucrările tehnice publicate de echipa de cercetare de la ESET:

 

Puteți găsi, de asemenea, informații legate de acest subiect pe contul Github al ESET.

 

GRAHAM CLULEY

CORESPONDENT INDEPENDENT

oana November 4, 2016

Lasa un comentariu