Liūdnai pagarsėjusi kibernetinio šnipinėjimo grupė „Sofacy“ taiko naujus kenkėjiškus įrankius

„Kaspersky Lab“ globalių tyrimų ir analizės komanda aptiko naujus išpuolius, vykdomus „Sofacy“ grupės. Ši grupė naudojasi keliais modernizuotais metodais, didinančiais kenksmingos veiklos agresyvų pastovumą ir nematomumą puolamoje sistemoje.

„Sofacy“ (taip pat žinoma kaip „Fancy Bear“, „Sednit“, STRONTIUM ir „APT28“) yra kenksminga rusakalbių grupuotė, aktyviai veikianti jau nuo 2008 m. ir nusitaikiusi į viso pasaulio karinius ir vyriausybės subjektus. 2014 m. grupės veikla buvo paviešinta, tačiau ji nenustojo veikusi. Be to, „Kaspersky Lab“ ekspertai aptiko pažangesnius „Sofacy“ arsenalo įrankius.

• Juos galima kaitalioti: atakų vykdytojai naudoja kelis virusus, siekdami užkrėsti tikslą keliais skirtingais kenkėjiškais įrankiais, iš kurių vienas naudojamas kaip užkrėtimo priemonė tuo atveju, jei kitas būtų saugumo sprendimo užblokuotas arba panaikintas.
• Moduliniai: atakų vykdytojai virusus modulizuoja, kai kurias virusų funkcijas išskirstydami į atskirus modulius, kad geriau paslėptų kenkėjišką veiklą puolamoje sistemoje. Šią vis labiau populiarėjančią tendenciją „Kaspersky Lab“ nuolat pastebi tikslinėse atakose.
• „Air Gap“ technologija: daugelyje neseniai (2015 metais) „Sofacy“ grupės įvykdytų išpuolių panaudota jų nauja USB implanto vagystės versija, kuri leidžia kopijuoti duomenis iš kompiuterių su „Air Gap“ technologija.

2015 m. buvo užfiksuota nauja išpuolių banga, gynybos pramonės organizacijos tapo naujosios AZZY versijos taikiniu. Šį virusą „Sofacy“ grupė paprastai taiko siekdama įsitvirtinti atakuojamame kompiuteryje ir atsisiųsti papildomų kenkėjiškų įrankių. „Kaspersky Lab“ produktai sėkmingai blokavo šią kenkėjišką programą. Tačiau lygiai po valandos, kai buvo užblokuotas „Trojos“ virusas, užpuolikai sukūrė ir atsiuntė į atakuojamą kompiuterį naujesnę jo versiją. Jos nepastebėjo tradicinė AV technologija, tačiau aptikto įsibrovimų prevencijos posistemės (HIPS).

Šios žaibiškai besikartojančios „Sofacy“ vykdomos atakos patraukė „Kaspersky Lab“ ekspertų dėmesį. Labai greitai jie nustatė, kad naujoji viruso versija buvo atsiųsta ne per „nulinės dienos“ pažeidžiamumą (kuri buvo žinoma kaip įprasta „Sofacy“ grupės praktika), bet su implantu, kuris buvo aptiktas po tolesnio tyrimo (ir jo autoriaus pavadintas „msdeltemp.dll“).

Šis „Trojos“ virusas „msdeltemp.dll“ yra įrankis, leidžiantis įsilaužėliui siųsti komandas į užkrėstą kompiuterį ir iš jo gauti duomenis. Jis taip pat gali būti naudojamas į sistemą įkelti daugiau sudėtingų „Trojos“ virusų. Jei antrinis virusas blokuojamas antivirusiniu produktu, užpuolikai vis dar gali naudoti „msdeltemp.dll“ virusą, atsiųsti naują viruso versiją į atakuojamą kompiuterį.

Tai yra kelių sudėtingų virusų ypatingo atsparumo pavyzdys. Pati taktika nėra nauja, „Sofacy“ ją jau taikė. Tačiau anksčiau ji naudojo tarpinius virusus, kad įdiegtų SPLM ir AZZY. Jei būdavo aptiktas vienas iš jų, kitas suteikdavo užpuolikams tolesnę prieigą. Per naująją išpuolių bangą taktika pasikeitė: dabar jie atsiunčia patobulintą AZZY versiją užblokuotam virusui pakeisti – jiems nebereikia kartoti viso užkrėtimo proceso.

Komandinio kontrolinio serverio ryšių funkcijos atskyrimas nuo pagrindinio viruso taip pat mažina jo matomumą. Jis tiesiogiai neperduoda duomenų iš užpulto kompiuterio, todėl atrodo mažiau įtartinas saugumo požiūriu.

Be atsparumo taktikos pokyčių, „Kaspersky Lab“ ekspertai aptiko keletą naujų „Sofacy“ USB vagystės modulių versijų, kurios leidžia vogti duomenis iš kompiuterių tinklų su „Air Gap“ technologija. USB vagystės modulis skirtas išoriniams diskams ir iš jų surinkti failus priklausomai nuo užpuolikų nustatytų taisyklių. Pavogti duomenys nukopijuojami į paslėptą katalogą, iš kurio užpuolikai gali juos filtruoti, naudodamiesi vienu iš AZZY implantu. Pirmosios naujos kartos USB vagystės modulio versijos aptiktos 2015 m. vasarį ir buvo taikomos tik aukšto profilio taikiniams.

„Paprastai, kai skelbiami tam tikros kibernetinio šnipinėjimo grupės veiklos tyrimų rezultatai, grupės reaguoja: jos arba stabdo savo veiklą, arba visiškai keičia taktiką ir strategiją. Su „Sofacy“ kitaip. Mes matėme, kad ji pradėjo vykdyti atakas jau prieš keletą metų, ir saugumo bendruomenė kelis kartus informavo apie jos veiklą. 2015 m. jos veikla žymiai suaktyvėjo. „Sofacy“ tapo viena iš aktyviausiai veikiančių dinaminių grėsmės veikėjų arenoje. Mes turime pagrindo manyti, kad šie išpuoliai tęsis“, – sakė Costinas Raiu, „Kaspersky Lab“ Globalių tyrimų ir analizės komandos direktorius.