Globalny Zespół ds. Badań i Analiz (GReAT) z Kaspersky Lab zidentyfikował nowe ataki przeprowadzone przez cyberprzestępczą grupę Sofacy, które wykorzystują kilka udoskonalonych technik zapewniających agresywną obecność i większą niewidoczność szkodliwej aktywności w zaatakowanym systemie. Sofacy (znane również jako „Fancy Bear”, „Sednit”, „STRONTIUM” oraz „APT28”) to rosyjskojęzyczne, zaawansowane ugrupowanie, które działa od co najmniej 2008 r., atakując głównie jednostki
wojskowe i rządowe na całym świecie. Od czasu, gdy została zidentyfikowana w 2014 r., grupa ta nie zaprzestała swoich działań. Co więcej, eksperci z Kaspersky Lab wykryli nowe, jeszcze bardziej zaawansowane narzędzia w arsenale Sofacy.
Nowy zestaw narzędzi jest:
- Wymienny: Cyberprzestępcy wykorzystują wiele trojanów, aby infekować cel przy pomocy kilku różnych szkodliwych narzędzi, z których jedno służy jako narzędzie ponownej infekcji, na wypadek gdyby inne zostało zablokowane lub skasowane przez rozwiązanie bezpieczeństwa.
- Modułowy: Atakujący dzielą szkodliwe oprogramowanie, umieszczając niektóre funkcje w oddzielnych modułach w celu lepszego ukrycia szkodliwej aktywności w zaatakowanym systemie. Jest to coraz popularniejszy trend, regularnie obserwowany przez Kaspersky Lab w atakach ukierunkowanych.
- Fizycznie odizolowany: W wielu przeprowadzonych niedawno atakach (2015 r.) ugrupowanie Sofacy wykorzystywało nową wersję swojego modułu służącego do kradzieży danych z nośników USB, który pozwala kopiować informacje z komputerów odizolowanych od sieci.
Taktyki odporności oraz narzędzie pobierania danych: jak do działa
W 2015 roku, prawdopodobnie w ramach nowej fali ataków, organizacja z branży obrony została zaatakowana przy użyciu nowej wersji AZZY – trojana, który zwykle wykorzystywany jest przez ugrupowanie Sofacy do uzyskiwania punktu zaczepienia w atakowanej maszynie oraz do pobierania dodatkowych szkodliwych narzędzi. Produkty Kaspersky Lab skutecznie zablokowały tego szkodnika i to powinno było oznaczać koniec tej historii. Jednak to, co nastąpiło później, było dość niezwykłe: zaledwie godzinę po zablokowaniu trojana atakujący skompilowali i pobrali na atakowany komputer kolejną, nowszą wersję tego szkodnika. Wersja ta obeszła standardowe technologie antywirusowe, jednak została dynamicznie wykryta przez podsystem zapobiegania włamaniom (tzw. HIPS).
Ten powtórny, błyskawiczny atak ugrupowania Sofacy zwrócił uwagę ekspertów z Kaspersky Lab, którzy zaczęli badać go głębiej. Wkrótce odkryli, że nowa wersja trojana była pobierana nie poprzez niezałataną lukę w systemie (jak miało to zwykle miejsce w przypadku ugrupowania Sofacy), ale przez inny moduł, który został wykryty w trakcie dalszego badania (i jest nazywany przez jego autorów jako „msdeltemp.dll”).
Trojan “msdeltemp.dll” pozwala cyberprzestępcom wysyłać polecenia do zainfekowanej maszyny oraz otrzymywać z niej dane. Może być również wykorzystywany w celu umieszczenia w systemie bardziej wyrafinowanego trojana. Jeśli drugi szkodnik zostanie zablokowany przez produkt antywirusowy, atakujący mogą użyć jeszcze trojana msdeltemp.dll w celu pobrania nowej wersji z własnego serwera kontroli i zainstalowania jej na zaatakowanej maszynie. Jest to przykład wykorzystywania wielu szkodliwych programów dla zapewnienia ogromnej odporności techniki antywirusowe.
Cyberprzestępcy oddzielili także funkcje komunikacji ze swoim serwerem od głównego trojana – jest to kolejny sposób na zmniejszenie widoczności zagrożenia. Z racji tego, że szkodnik ten nie przesyła bezpośrednio danych poza zaatakowany komputer, wydaje się mniej podejrzany z punktu widzenia bezpieczeństwa.
Oprócz zmiany taktyk odporności eksperci z Kaspersky Lab wykryli kilka nowych wersji modułów służących do kradzieży danych z nośników USB. Z ich użyciem ugrupowanie Sofacy może kraść informacje z komputerów, które są fizycznie odizolowane od sieci. Celem modułu USBSTEALER – bo taka jest jego nazwa – jest monitorowanie nośników wymiennych oraz przechwytywanie z nich plików w oparciu o zestaw reguł zdefiniowanych przez osoby atakujące. Skradzione dane są kopiowane do ukrytego foldera, z którego mogą być pobrane przez cyberprzestępców.
Pierwsze wersje modułu kradzieży USB nowej generacji powstały w lutym 2015 r. i wydają się być dostosowane wyłącznie do szeroko znanych celów.
– Gdy ktoś publikuje badanie dotyczące danego ugrupowania cyberszpiegowskiego, grupa ta zwykle reaguje na jeden z dwóch sposobów: wstrzymuje swoją aktywność lub znacząco zmienia taktyki i strategię. W przypadku Sofacy nie zawsze tak się dzieje. Ugrupowanie to przeprowadza ataki już od kilku lat, a jego aktywność była zgłaszana przez społeczność bezpieczeństwa wiele razy. W 2015 r. Sofacy znacząco zwiększyło swoją działalność, wykorzystując przynajmniej pięć luk, dla których nie istniały poprawki bezpieczeństwa, dzięki czemu stało się jednym z najbardziej kreatywnych i dynamicznych ugrupowań cyberprzestępczych. Mamy powody sądzić, że ataki te będą kontynuowane – powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab.
Strategie ochrony
Produkty firmy Kaspersky Lab wykrywają niektóre z nowych próbek szkodliwego oprogramowania wykorzystywanych przez ugrupowanie Sofacy pod następującymi nazwami: Trojan.Win32.Sofacy.al, Trojan.Win32.Sofacy.be, Trojan.Win32.Sofacy.bf, Trojan.Win32.Sofacy.bg, Trojan.Win32.Sofacy.bi, Trojan.Win32.Sofacy.bj, Trojan.Win64.Sofacy.q, Trojan.Win64.Sofacy.s, HEUR:Trojan.Win32.Generic.
W celu zapewnienia ochrony organizacji przed wyrafinowanymi atakami ukierunkowanymi, w tym przeprowadzanymi przez Sofacy, Kaspersky Lab zaleca wykorzystywanie wielopoziomowego podejścia, które obejmuje:
- tradycyjne technologie antywirusowe,
- zarządzanie łatami,
- wykrywanie włamań,
- białą listę i strategie domyślnego blokowania (gdzie uruchamiane mogą być wyłącznie aplikacje znajdujące się na białej liście definiowanej przez administratora).