Sākumlapa » Apdraudējumi » Kaspersky: krievvalodīga kiberuzbrucēju grupa Zebrocy specializējas upuru izpētē un pieejas izveidē

Kaspersky: krievvalodīga kiberuzbrucēju grupa Zebrocy specializējas upuru izpētē un pieejas izveidē

Kaspersky Globālās analīzes un izpētes komandas eksperti informē par Zebrocy, krievvalodīgu kiberuzbrucēju grupu (APT), kurai ir konstatētas līdzības un pārklāšanās ar Sofacy (Fancy Bear, APT28 utt.) un BlackEnergy. Zebrocy turpina uzbrukumus valdības un militāra rakstura mērķiem. Pētnieki pamanījuši, ka grupa pēdējās kampaņās izmanto jaunu ļaunprogrammatūras komponenti, kas savukārt lejupielādē grupas tradicionālās lūkas.

 

 

Pēdējās kampaņas laikā Zebrocy veica mērķētās pikšķerēšanas uzbrukumus samērā prāvu mērķu sarakstam visā pasaulē, izmantojot jauno Nim lejupielādētāju. Kaspersky Lab pētnieki informēja par to pirmdien publicētajā pārskatā, norādot, ka šo aktivitāšu sākumu viņi pamanīja jau aprīlī. Rietumeiropas mērķu izvēle ietvēra Vāciju un Lielbritāniju. Zebrocy atrašanās vietas tuvumā grupa izvēlējās mērķus Afganistānā, Kazahstānā, Kirgizstānā, Tadžikistānā un Turkmēnistānā. Uzbrukumam tika pakļauti arī mērķi Tuvajos Austrumos – Sīrijā un Irānā, kā arī Mjanmā, Āzijā un Tanzānijā, Āfrikā.

Atbalsta grupa

Kaspersky speciālistu veiktā Zebrocy darbības analīze liecina, ka šī grupa specializējas upuru izpētē un pieejas organizēšanā – šīs aktivitātes tika konstatētas jau 2013. gadā. Grupa izmanto ļaunprogrammatūras artefaktus, kas kopīgi ar BlackEnergy un Sofacy, tādēļ pētnieki uzskata, ka “tā izpilda atbalsta funkcijas kā apakšgrupa”.

Analīze rāda, ka Zebrocy lieto noteiktas infrastruktūras elementus kopā ar Sofacy jeb Fancy Bear, Sednit  vai APT28 (tiek saistīta ar Kremļa dienestiem), kuru lielākā daļa speciālistu uzskata par, cita starpā, vainīgu 2016. gada ASV prezidenta vēlēšanu uzlaušanā. Novērojama arī zināma ļaunprogrammatūras pārklāšanās. Kaspersky Lab ziņoja arī to, ka Zebrocy kopīgojis mērķus un ļaunprogrammatūras kodus ar BlackEnergy, grupu. kura atbildīga par elektrības padeves pārtraukumu Ukrainā 2015. gadā.

“Interesanti, ka Turla lieto pikšķerēšanas makrosus, kas gandrīz pilnībā sakrīt ar nepubliskotu Zebrocy 2018. gada kodu,” atzīmēja pētnieki. Turla ir vēl viens grupējums, ko eksperti saista ar Kremļa dienestiem.

Zebrocy grupas uzdevums, pēc Kaspersky domām, ir sagrābt sākotnējās pozīcijas mērķu sistēmās, lai citas grupas pēc tam varētu izplatīt savus iznīcināšanas (sabotāžas) un spiegošanas rīkus.

 

Ļaunprogrammatūras “salāti”

Zebrocy darbība var pārklāties ar citu – lielāku un ļaunāku APT darbību, tomēr tai ir arī pašai savi dūži piedurknē. Grupa neaizraujas ar nulles dienas ievainojamību ekspluatējumiem, bet dod priekšroku aktīvas ļaunprogrammatūras izstrādei, kuru tā izmanto savās mērķētās pikšķerēšanas darbībās.

“Mēs esam manījuši virtuālus Zebrocy koda salātus, programmētus ar vairāku valodu izmantošanu, dažkārt aizgūtus no dažādām kodu kopīgošanas vietnēm”, stāsta Kaspersky pētnieki un piebilst, ka ļaunprogrammatūra ietver gan leģitīmu, gan ļaunprātīgu kodu, kas kopīgots tiešsaistes forumos, piemēram, Github un Pastebin. “Šāda atkārtoti izmantota kopēšanas un ielīmēšanas taktika nav bieži novērota krievvalodīgo APT grupu ļaunprogrammatūras paketēs. Neparasti šķiet arī tas, ka Zebrocy ļaunprogrammatūras sortiments bieži tiek atkārtoti pārprogrammēts vairākās valodās, pievienojot šim kokteilim jaunus komponentus.”

 

Papildus par Zebrocy varat uzzināt, noskatoties Kaspersky Globālās izpētes un analīzes komandas eksperta Kurta Baumgārtnera prezentācijas ierakstu no pasākuma SAS2019.

“Grupas nerimstošās aktivitātes liecina, ka tā nežēlo pūles, lai piekļūtu izvēlētajiem mērķiem”, secina Kaspersky.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

94 − = 93

Uz augšu