APT Sofacy глядит на восток.

Мы наблюдаем за деятельностью многих киберпреступников и преступных группировок, регулярно публикуя отчеты обо всем, что может пригодиться для защиты наших читателей. Некоторые из APT, попавших в наше поле зрения, известны на международном уровне и даже попадали в заголовки новостей.

APT-атаки — продолжительные атаки повышенной сложности (Advanced Persistent Threats). Частный случай «Целевой атаки».

На каком бы языке ни говорили злоумышленники, мы считаем своим долгом выяснить о них как можно больше и досконально проанализировать их методы работы, чтобы со своей стороны обеспечить максимально надежную защиту от их действий.

Сегодня одной из самых активных группировок, занимающихся APT-атаками, считается русскоязычная Sofacy.

Эта группа, также известная как APT28, Fancy Bear и Tsar Team, печально знаменита своими кампаниями целевого фишинга и кибершпионажа. В 2017 году она расширила географию своей деятельности и используемый инструментарий, и мы считаем, что это заслуживает отдельного рассказа.

Специалисты наблюдают за Sofacy с 2011 года и успели неплохо изучить инструменты и тактики, которыми пользуются злоумышленники. В прошлом году сфера интересов группировки расширилась: если в начале года она активно занималась направленным фишингом в странах НАТО, то со второго квартала 2017 г. начала также атаковать ближневосточные и азиатские страны. Ранее Sofacy также проявляла интерес к Олимпийским играм, Всемирному антидопинговому агентству (WADA) и Спортивному арбитражному суду (CAS).

Для разных целей Sofacy применяет разный инструментарий.

Например, в начале 2017 года группировка использовала кампанию Dealer’s Choice, направленную в основном на взлом военных и дипломатических организаций (как правило, в странах НАТО и на Украине). В дальнейшем злоумышленники применяли еще два инструмента, которые эксперты назвали Zebrocy и SPLM. С их помощью Sofacy атаковала уже организации совсем другого профиля, включая научно-инженерные центры и пресс-службы. И Zebrocy, и SPLM были значительно доработаны за прошлый год. Инструмент SPLM (также получивший прозвище Chopsticks — «палочки для еды») стал модульным и начал задействовать зашифрованные каналы связи.

Как правило, группировка заражает жертву с помощью направленного фишинга — адресного письма, которое содержит файл со скриптом, загружающим «боевую нагрузку».

Sofacy известна тем, что находит уязвимости нулевого дня и создает для них эксплойты, которые затем использует для внедрения вредоносных программ. Группировка хорошо организована, умеет запутывать следы и прилагает огромные усилия к тому, чтобы проделанные ею бреши было как можно сложнее обнаружить. Разумеется, это затрудняет и расследование инцидентов.

А расследовать их необходимо, когда имеешь дело с такими изощренными целевыми кампаниями, как те, за которыми стоит Sofacy. Тщательный анализ помогает выяснить, какую информацию собирают злоумышленники, разобраться в их мотивах и даже обнаружить неактивные, но готовые проснуться по команде вредоносные модули.

Однако чтобы иметь возможность провести расследование, нужно оборудовать систему безопасности предприятия не только передовыми средствами защиты, но и системой для моментального выявления подозрительной активности и реагирования на киберинциденты. Это позволит выявить угрозу на ранних стадиях проникновения, а также проанализировать события, предшествовавшие инциденту.

Zdislav Group - канал с уникальным контентом из Нью-Йорка! Рубрика "Книга в день" - это выжимка самой сути из бизнес книг, многие из которых даже не были опубликованы в Росиии!

Digital Gold - канал о цифровых валютах, интернет активах и будущем денег, а также дайджест актуальных статей из Нью-Йорка.

Другой Telegram - Тут я рассказываю, как зарабатываю в Telegram. Публикую кейсы, делюсь информацией, которой нигде не найти. Информация полезна для тех, кто интересуется заработком на каналах в Telegram.