Діяльність кибергруппировки Sednit під мікроскопом — Частина 2

Наші спеціалісти опубликовали другу частину детального дослідження діяльності та шкідливого ПЗ кибергруппировки Sednit. У попередній частині ми публікували інформацію про фішингових повідомлень і механізмах компрометації користувачів з боку цього угруповання, а також згадали використовуються ними експлойти. У новій частині нашого дослідження мова піде про зловмисне програмне забезпечення, яке використовується Sednit для компрометації користувачів.


Групування спеціалізується на компрометації тільки тих цілей, які заздалегідь були обрані для кібератаки, тобто кібератака носить спрямований характер і здійснюється після проведеної розвідки цих цілей. Шкідливий інструмент (toolkit) авторів складається з трьох основних компонентів: бекдорів SEDRECO, XAGENT і мережевого агента XTUNNEL.

Зловмисники використовують для компрометації своїх жертв обидва бекдор, що дозволяє одному з них залишатися активним навіть у тому випадку, якщо буде виявлено антивірусним продуктом. Таким чином, це дає їм додаткову впевненість у тому, що контроль над системою жертви не буде втрачено.

Бекдор SEDRECO надає операторам Sednit виконувати різні операції на скомпрометованої системи, включаючи, читання і запис файлів, відстеження натискань клавіш клавіатури, здійснювати пошук файлів у системі і на мережевих ресурсах. Спеціалісти ESET також встановили, що SEDRECO може використовувати в своїх цілях спеціальні плагіни, які передаються йому керуючим C&C-сервером.

Бекдор SEDRECO використовує програмний код, який ми спостерігали і в іншому бэкдоре угруповання Sednit під назвою XAGENT. XAGENT допомагає операторам отримувати інформацію, що цікавить їх з зараженої системи з допомогою протоколу HTTP або повідомлень електронної пошти. Він також може взаємодіяти з іншим компонентом під назвою USBSTEALER, який спеціалізується на крадіжці даних з ізольованих air-gapped комп'ютерів. Нашим фахівцям вдалося отримати вихідний код компонента XAGENT, який працює на Linux.


Як відомо, різні модифікації XAGENT активно використовуються кибергруппировкой з листопада 2012 р. по теперішній час. У число жертв цього бекдор входят комп'ютери керівного органу Демократичної партії США Democratic National Committee (DNC).

Хоча наші фахівці спостерігали версії бекдор XAGENT для таких платформ як Windows, Linux і iOS, швидше за все, існує версія цього шкідливого ПО і для Android.

Добре продумане авторами шкідливе ПО XAGENT складається з декількох модулів, що забезпечують різні функціональні можливості. Цей фактор, а також властивості, досліджених фахівцями ESET зразків шкідливого ПЗ, показують, що атакуючі адаптували кожну кібератаку на конкретну мету. Це допомагає зловмисникам мінімізувати ризик розкриття всього коду XAGENT для антивірусних аналітиків.

Інший згаданий вище компонент під назвою XTUNNEL представляє з себе інструмент мережевого проксі, який використовується операторами для перенаправлення мережевого трафіку з мережі жертви на свої сервера.



Перший відомий екземпляр XAGENT датується травнем 2013 р., пізніші його екземпляри були знайдені на серверах Комітету демократичної партії DNC в травні 2016 р. та німецького парламента у червні 2015 р., причому автори продовжують розвивати код шкідливої програми. Наші експерти підтвердили, що в розробку XTUNNEL, SEDRECO і XAGENT були вкладені значні ресурси.

Sednit спирається на Xagent і Sedreco для здійснення своєї кибершпионской діяльності. Обидві цих шкідливих програми інтенсивно розвивалися протягом останніх років. Схожі зусилля були вкладені і в розробку Xtunnel. Ці три шкідливих інструменту є ключовими для розуміння діяльності Sednit.

Однак, було б не зовсім правильним уявляти собі, що угруповання використовує тільки ці інструменти у своїх кібератаки. Наприклад, вони також можуть використовувати на скомпрометованих комп'ютерах інструменти збору паролів, деякі з яких створюються авторами під конкретну атаку. Те ж саме стосується інструментів для захоплення скріншотів робочого столу.

Повну версію другої частини нашого дослідження можна прочитати здесь.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.