Odborníci z týmu Global Research and Analysis Team (GReAT) společnosti Kaspersky Lab uveřejnili report věnující se aktivitám hackerské skupiny Sofacy v roce 2017. Ta je také známá jako APT 28 nebo Fancy Bear. Kaspersky Lab svým reportem poskytuje organizacím po celém světě ucelený pohled na toto kyberzločinecké uskupení, díky němuž se mohou lépe připravit a zabezpečit.
Sofacy je velmi aktivní kyber-špionážní skupina, která často útočí na společnosti po celém světě. Skupina na sebe výrazně upozornila v roce 2016, kdy byla objevena její přítomnost spolu s APT29 v americké síti DNC (Demokratický národní výbor). Tým GReAT sleduje tuto ruskojazyčnou skupinu již mnoho let a v roce 2017 podrobně popsal její nejnovější nástroje, techniky a cíle.
Hlavní zjištění týmu GReAT vztahující se ke skupině Sofacy:
- V průběhu roku 2017 se pozornost skupiny Sofacy přesunula z cílů v členských státech NATO a na Ukrajině na cíle ve státech centrální a východní Asie.
- Na začátku roku skupina dokončila svou spear-phishingovou kampaň Dealers‘ Choice, kterou započala už v roce 2016. Ta byla zaměřená na vojenské a diplomatické cíle NATO a Ukrajiny. Kampaň měla velký celosvětový dopad, protože jak ukázala data z Kaspersky Security Network (KSN) a zdrojů třetích stran, zločinci úspěšně napadli cíle v Arménii, Ázerbájdžánu, Francii, Německu, Iráku, Itálii, Kyrgyzstánu, Maroku, Švýcarsku, Ukrajině, USA, Vietnamu, Turecku, Polsku, Bosně a Hercegovině, Jižní Koreji, Lotyšsku, Gruzii, Austrálii, Švédsku a Belgii.
- V první polovině loňského roku skupina také využila zero day exploity v rámci cíleného phishingu, který cílil na zranitelnosti Microsoft Office označované CVE-2017-0262. Hlavním cílem byly zdroje v evropských státech NATO, které měly co do činění s ozbrojeným konfliktem v Sýrii.
- V polovině minulého roku se díky detekování SPLM backdooru podařilo zjistit, že se skupina Sofacy zaměřuje na bývalé sovětské republiky v centrální Asii. Mezi její cíle se řadily obchodní a vojenské organizace s vazbami na národní bezpečnost a telekomunikační společnosti. Jedním ze vzdálených SPLM cílů, který odborníci zaznamenali, je auditorská a konzultační firma z Bosny a Hercegoviny.
- Odborníci dále zjistili, že skupina Sofacy změnila škodlivý payload Zebrocy a jeho mechanismy šíření. To jí umožnilo cílit na menší a specifičtější cíle. V rámci těchto útoků se útočníci zaměřili na obsah žádostí o víza, skeny fotografií nebo administrativu spojenou s hraničními kontrolami. Mezi napadené státy patřily především země Blízkého Východu, Evropy a Asie, kde se útočníci zaměřovali na průmyslové, technologické, vládní a diplomatické organizace.
- Oběti útoků Zebrocy a SPLM byly detekovány v těchto zemích: Afghánistán, Arménie, Austrálie, Ázerbájdžán, Bangladéš, Belgie, Čína, Německo, Estonsko, Finsko, Gruzie, Izrael, Indie, Jordánsko, Kuvajt, Kyrgyzstán, Kazachstán, Libanon, Litva, Mongolsko, Malajsie, Nizozemsko, Omán, Pákistán, Polsko, Saudská Arábie, JAR, Jižní Korea, Švédsko, Švýcarsko, Tádžikistán, Turkmenistán, Turecko, Ukrajina, Spojené arabské emiráty, Velká Británie, USA, Uzbekistán a Bosna a Hercegovina.
- V roce 2017 došlo k uveřejnění části infrastruktury skupiny Sofacy, a proto se kyberbezpečnostní odborníci domnívají, že letos dojde k její výrazné změně.
„Sofacy je jednou z nejaktivnějších kyberzločineckých skupin, které sledujeme. V minulosti se již za pomoci cíleného phishingu dokázala nabourat do řady organizací po celém světě. Naše data a detekce poukazují na to, že v průběhu loňského roku prošly nástroje této skupiny výrazným vývojem. Oběti jejich cíleného phishingu se postupně z členských zemí NATO přesunuly přes Blízký Východ a centrální Asii až do východní Asie. Tyto hromadné kampaně nejspíše daly podnět ke vzniku dílčích malwarových aktivit, které zahrnovaly nástroje Zebrocy a SPLM,“ řekl Kurt Baumgartner, hlavní bezpečnostní analytik ve společnosti Kaspersky Lab.
Aby organizace zůstaly v bezpečí, doporučují odborníci Kaspersky Lab následující opatření. Pokud systémy detekují v síti některý ze škodlivých nástrojů skupiny Sofacy, je důležité zkontrolovat všechna přihlášení a případný neobvyklý administrátorský přístup do systémů. Zásadní je také provést celkový bezpečnostní sken sítě, aplikovat sandboxování příchozích příloh a zachovat dvoufaktorovou autentizaci služeb jako jsou e-mail a přístup k VPN.
Pro samotnou detekci škodlivých nástrojů této skupiny ve firemních systémech je nutné aplikovat výkonné detekční nástroje, jako jsou například YARA. Jednoznačně se také vyplatí investovat do řešení proti cíleným útokům, jako je KATA, které poskytují ochranu firemní síti a rychlé detekování hrozeb.
Více informací včetně technických podrobností se dozvíte na blogu Securelist.
O společnosti Kaspersky Lab
Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností a v roce 2017 slaví 20 let od svého založení. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb nové generace zaměřených na ochranu podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.