Діяльність кибергруппировки Sednit під мікроскопом

Ми вже кілька разів писали про діяльність кибергруппировки Sednit (APT28, Fancy Bear, Pawn Storm, Sofacy) у попередніх постах нашого корпоративного блогу. Ця група намагалася скомпрометувати понад 1000 користувачів у різних організаціях з використанням фішингових атак, а також експлойтів нульового дня. Атакуючі зацікавлені в крадіжці конфіденційної інформації з комп'ютерів скомпрометованих користувачів.


Sednit здійснювала кібератаки на користувачів як мінімум з 2004 р., при цьому для їх реалізації використовувалися витончені методи з обходом налаштувань мережевої безпеки. Дослідники ESET відстежували діяльність угруповання Sednit протягом останніх двох років. Sednit викривали в кібератаках на Комитет по виборах в Конгрес Демократичної партії, німецький парламентсервери французького телеканалу TV5Monde, а також антидопінгове агентство WADA.

Крадіжка конфіденційної інформації облікових даних поштових сервісів
Для крадіжки облікових даних поштових сервісів користувачів угруповання використовує досить поширений метод. Він полягає в розсилці спрямованих фішингових повідомлень, де розташовані URL-посилання на фальшиві веб-сторінки входу в обліковий запис, де потрібно ввести логін і пароль.



Фішингові листи використовують методи соціальної інженерії для обману користувачів. Користувачеві намагаються вселити, що йому потрібно перейти по вказаному посиланню як можна швидше, при цьому він може забути про можливі наслідки такого кроку.



В результаті аналізу наші фахівці виявили 1,888 унікальних адрес електронної пошти, на які розсилалися фішингові повідомлення між 16 березня і 14 вересня 2015 р. При цьому видно, що найбільшу кількість атак припадає на понеділок чи п'ятницю.



Наші фахівці припускають, що регулярні сплески активності відповідають часу запуску нових фішингових кампаній.

Шкідливі повідомлення електронної пошти
Групування Sednit використовує повідомлення електронної пошти для зараження користувачів, відправляючи їм або шкідливе вкладення, або шкідливу посилання на набір експлойтів всередині листа. У випадку з вкладеннями, Sednit вдається до эксплойтам для таких поширених продуктів Microsoft Word, Microsoft Excel, Adobe Flash і Adobe Reader.

На скріншоті нижче можна побачити використовується угрупованням фішингове повідомлення, нібито від Всеукраїнського економічного союзу, до якого прикладений документ з інформацією про загострення відносин між Росією і ЄС.


У даному конкретному випадку, прикріплений файл у форматі RTF експлуатує уразливість в microsoft Office для скидання на диск жертви іншого шкідливого компонента. У разі інших кібератак, угруповання використовувало теми актуальних новинних стрічок для заманювання користувача на шкідливий ресурс для завантаження файлу. Приклади таких тем новин наведені нижче.

  • «West's military advantage is being eroded, report warns»
  • «Despite ISIS Attacks, North Korea Remains the `Varsity` of Global Threats»
  • «Taking War Seriously: a Russia-NATO Showdown Is No Longer Just Fiction»
  • «Russia warns Turkey over Aegean warship incident»
  • «Iraq warns attacks of before Paris assault»
Жертви кібератак
Найбільша кількість цілей угруповання, які були виявлені фахівцями ESET, використовували електронні адреси сервісу Gmail. Більшість з цих адрес належали фізичним особам. Тим не менш, такі організації, які використовували сервіс Gmail для своїх потреб, присутні в списку.

  • Посольства належать Алжиру, Бразилії, Колумбії, Джібуті, Індії, Іраку, Північній Кореї, Киргизстану, Лівану, М'янмі, Пакистані, Південній Африці, Туркменістану, ОАЕ, Узбекистану, Замбії.
  • Міністерства оборони в Аргентині, Бангладеш, Південній Кореї, Туреччині, Україні.
Крім цього, у списку присутні адреси політичних лідерів, керівників поліції України, членів установ НАТО, членів партії Народної Свободи, російських політичних дисидентів, а також групи Шалтай-Болтай. Остання являє собою анонімну російську групу, що спеціалізується на публікації повідомлень електронної пошти російських політиків.

Використання вразливостей нульового дня
Використання 0day експлойтів групування дозволяє вирішити два завдання, по-перше, збільшити свої шанси на успішну компрометацію системи, а по-друге встановити шкідливе ПЗ в автоматичному режимі з мінімальним втручанням користувача.

Спеціалісти ESET виявили, що тільки в 2015 р. угрупування використовувало експлуатувала не менше шести 0day вразливостей для Windows, Adobe Flash і Java.



Чи можна уявити собі простих кіберзлочинців, які використовували таку значну кількість раніше невідомих загроз для своїх потреб. Виявлення в продуктах нових вразливостей і розробка експлойтів вимагає суттєвих матеріальних витрат, які просто їм не під силу.

Крім цього, як буде описано в наступних постах, групування розробила десятки своїх шкідливих програм, включаючи, бекдори з різними модулями, буткиты, і руткіти для успішного виконання поставлених завдань.

Повну версію аналізу діяльності угруповання Sednit можна знайти ссылке.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.