Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Krievvalodīgā kiberspiegošanas grupējuma Sofacy mērķi ietver arī Latviju

Krievvalodīgā kiberspiegošanas grupējuma Sofacy mērķi ietver arī Latviju

Kaspersky Lab novēro daudzu kibernoziedznieku grupu darbību un regulāri publicē ziņojumus par visu, kas var būt noderīgs klientu aizsardzības nodrošināšanai. Dažas no grupām (speciālisti tās, to kampaņas un ļaunprogrammatūru sauc par Advanced Persistent Threat jeb APT), kas ir nonākušas Kaspersky Lab redzes lokā, ir pazīstamas starptautiskā līmenī un pat tiek pieminētas laikrakstu pirmajās lappusēs. Lai kādā valodā runātu ļaundari, uzņēmums uzskata par savu pienākumu noskaidrot par viņiem pēc iespējas vairāk un sīki izanalizēt viņu darbības metodes, lai no savas puses nodrošinātu maksimālu aizsardzību pret viņu darbību.

 

 

Šodien pastāstīsim par vienu no aktīvākajām grupām, kas nodarbojas ar APT uzbrukumiem — par krievvalodīgo Sofacy. Šī grupa, kas ir pazīstama arī kā APT28, Fancy Bear un Tsar Team, kļuvusi bēdīgi slavena ar savām mērķētās pikšķerēšanas un datorspiegošanas kampaņām. 2017. gadā tā paplašināja savu darbību un instrumentu klāstu, un par to jāpastāsta vairāk.

Kaspersky Lab speciālisti novēro Sofacy kopš 2011. gada un ir paguvuši diezgan labi izpētīt instrumentus un taktiku, kuru pielieto šie noziedznieki. Pērn grupas interešu loks paplašinājās: ja gada sākumā tā aktīvi nodarbojās ar mērķtiecīgu pikšķerēšanu NATO valstīs, tad kopš 2017. gada otrā ceturkšņa tā ir sākusi uzbrukumus arī Tuvo Austrumu un Āzijas valstīs. Agrāk Sofacy interesējās arī par Olimpiskajām spēlēm, Starptautisko Antidopinga Aģentūru (WADA) un Sporta šķīrējtiesu (CAS).

Dažādiem nolūkiem Sofacy izmanto dažādus instrumentus. Piemēram, 2017. gada sākumā šī grupa izmantoja kampaņu Dealer’s Choice, kas galvenokārt bija vērsta uz militāro un diplomātisko organizāciju datorsistēmu uzlaušanu (parasti NATO valstīs un Ukrainā). Vēlāk noziedznieki pielietoja vēl divus instrumentus, kurus Kaspersky Lab eksperti nosauca par Zebrocy un SPLM. Ar to palīdzību Sofacy uzbruka jau pavisam cita veida organizācijām, tostarp inženiertehniskajiem centriem un preses dienestiem. Gan Zebrocy, gan SPLM pagājušajā gadā tika būtiski pilnveidoti. Instruments SPLM (dēvēts arī par Chopsticks — ēšanas nūjiņām) tagad ir modulārs un izmanto šifrētus sakaru kanālus.

 

Starp Sofacy mērķētās pikšķerēšanas kampaņas Dealer’s Choice mērķiem bija arī Latvijas valsts iestādes.

Starp Sofacy mērķētās pikšķerēšanas kampaņas Dealer’s Choice mērķiem bija arī Latvijas valsts iestādes.

Sofacy uzbrukumos Baltijas valstis nav izņēmums. Kaspersky Lab pārskatā A Slice of 2017 Sofacy Activity minētajās Sofacy kampaņās mēs varam ieraudzīt gan Latviju, gan Lietuvu, gan Igauniju.

 

Starp Sofacy uzbrucēju konstruētā e-pasta mērķiem ir adresāts Latvijas Aizsardzības ministrijā. Attēls no Kaspersky Lab pārskata: A Slice of 2017 Sofacy Activity.

Starp Sofacy uzbrucēju 2016. gada beigās konstruētā e-pasta mērķiem ir adresāts Latvijas Aizsardzības ministrijā. Attēls no Kaspersky Lab pārskata: A Slice of 2017 Sofacy Activity.

Parasti grupa inficē upura datorsistēmu ar mērķtiecīgas pikšķerēšanas palīdzību — ar adresētu vēstuli, kam piesaistīta datne ar skriptu, kurš pēc tam lejupielādē pašu kaitēkli. Sofacy ir pazīstama ar to, ka atrod „nulles dienu” ievainojamības un izstrādā tām ekspluatējumus, kurus pēc tam izmanto, lai ievietotu datoros ļaunprogrammatūru. Grupa ir labi organizēta, prot jaukt pēdas un ļoti cenšas, lai tās ielaušanos būtu pēc iespējas grūtāk pamanīt. Protams, ka tas apgrūtina incidentu izmeklēšanu.

Bet rūpīga izmeklēšana ir nepieciešama, kad ir darīšana ar tik sarežģītām mērķtiecīgajām kampaņām, kādas organizē Sofacy. Rūpīga analīze ļauj noskaidrot, kādu informāciju vāc noziedznieki, kādi ir viņu rīcības motīvi, un dod iespēju pat atrast neaktīvus kaitīgos moduļus, kas ir gatavi uzsākt darbību pēc attiecīgas komandas.

Bet lai būtu iespējams veikt izmeklēšanu, uzņēmuma drošības sistēmā jābūt ne vien moderniem aizsardzības līdzekļiem, bet arī tādai sistēmai, kura uzreiz konstatē aizdomīgu darbību un reaģē uz drošības incidentiem. Tas ļauj atklāt draudus, līdzko sākas ļaunprogrammatūras iekļūšana, kā arī analizēt notikumus pirms incidenta. Kā risinājumu Kaspersky Lab piedāvā produktu Kaspersky Endpoint Detection and Response, kas ir cieši integrēts ar platformu aizsardzībai pret mērķtiecīgiem uzbrukumiem Kaspersky Anti Targeted Attack Platform (KATA), kura ICSA Labs sertifikācijas testos ir uzrādījusi satriecoši labus rezultātus (skat. Q4 2017 Advanced Threat Defense Certification Testing Report).

 

 

Kaspersky Lab vietnē Securelist ir atrodams apraksts par Sofacy darbību 2017. gadā ar visām tehniskajām detaļām. Turklāt šī gada sākumā pētnieki konstatēja, ka Sofacy darbības paņēmieni atkal ir mainījušies visai interesantā veidā. Par to tiks pastāstīts konferencē Security Analyst Summit (SAS) 2018. Ja jūs interesē APT apdraudējumi un paņēmieni, kā pret tiem aizsargāties, tad ieteicams lasīt uzņēmuma blogus konferences laikā — tur tiks pastāstīts par interesantākajiem referātiem.

Birkas:
Iepriekšējais raksts
Nākošais raksts

4 Komentāri

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 2 = 1

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu