APT Sofacy глядит на восток

21 февраля 2018

«Лаборатория Касперского» наблюдает за деятельностью многих киберпреступников и преступных группировок, регулярно публикуя отчеты обо всем, что может пригодиться для защиты наших клиентов. Некоторые из APT, попавших в наше поле зрения, известны на международном уровне и даже попадали в заголовки новостей. На каком бы языке ни говорили злоумышленники, мы считаем своим долгом выяснить о них как можно больше и досконально проанализировать их методы работы, чтобы со своей стороны обеспечить максимально надежную защиту от их действий.

Сегодня одной из самых активных группировок, занимающихся APT-атаками, считается русскоязычная Sofacy. Эта группа, также известная как APT28, Fancy Bear и Tsar Team, печально знаменита своими кампаниями целевого фишинга и кибершпионажа. В 2017 году она расширила географию своей деятельности и используемый инструментарий, и мы считаем, что это заслуживает отдельного рассказа.

Специалисты «Лаборатории Касперского» наблюдают за Sofacy с 2011 года и успели неплохо изучить инструменты и тактики, которыми пользуются злоумышленники. В прошлом году сфера интересов группировки расширилась: если в начале года она активно занималась направленным фишингом в странах НАТО, то со второго квартала 2017 г. начала также атаковать ближневосточные и азиатские страны. Ранее Sofacy также проявляла интерес к Олимпийским играм, Всемирному антидопинговому агентству (WADA) и Спортивному арбитражному суду (CAS).

Для разных целей Sofacy применяет разный инструментарий. Например, в начале 2017 года группировка использовала кампанию Dealer’s Choice, направленную в основном на взлом военных и дипломатических организаций (как правило, в странах НАТО и на Украине). В дальнейшем злоумышленники применяли еще два инструмента, которые мы назвали Zebrocy и SPLM. С их помощью Sofacy атаковала уже организации совсем другого профиля, включая научно-инженерные центры и пресс-службы. И Zebrocy, и SPLM были значительно доработаны за прошлый год. Инструмент SPLM (также получивший прозвище Chopsticks — «палочки для еды») стал модульным и начал задействовать зашифрованные каналы связи.

Как правило, группировка заражает жертву с помощью направленного фишинга — адресного письма, которое содержит файл со скриптом, загружающим «боевую нагрузку». Sofacy известна тем, что находит уязвимости нулевого дня и создает для них эксплойты, которые затем использует для внедрения вредоносных программ. Группировка хорошо организована, умеет запутывать следы и прилагает огромные усилия к тому, чтобы проделанные ею бреши было как можно сложнее обнаружить. Разумеется, это затрудняет и расследование инцидентов.

А расследовать их необходимо, когда имеешь дело с такими изощренными целевыми кампаниями, как те, за которыми стоит Sofacy. Тщательный анализ помогает выяснить, какую информацию собирают злоумышленники, разобраться в их мотивах и даже обнаружить неактивные, но готовые проснуться по команде вредоносные модули.

Однако чтобы иметь возможность провести расследование, нужно оборудовать систему безопасности предприятия не только передовыми средствами защиты, но и системой для моментального выявления подозрительной активности и реагирования на киберинциденты. Это позволит выявить угрозу на ранних стадиях проникновения, а также проанализировать события, предшествовавшие инциденту. В качестве решения мы предлагаем продукт Kaspersky Endpoint Detection and Response, тесно интегрированный с платформой для защиты от целевых атак Kaspersky Anti Targeted Attack Platform.

На нашем сайте Securelist вы можете прочесть о деятельности Sofacy в 2017 году со всеми техническими подробностями. Кроме того, в начале нынешнего года наши исследователи обнаружили, что образ действий Sofacy снова изменился — и довольно интересным образом. Об этом мы расскажем на конференции Security Analyst Summit (SAS) 2018. Так что, если вас интересуют APT-угрозы и методы защиты от них, рекомендуем вам посетить эту конференцию или хотя бы читать наши блоги во время ее проведения — на их страницах мы будем рассказывать о самых интересных докладах.