Kaspersky Lab Globālā pētniecības un analīzes grupa ir pamanījusi jaunus grupas Sofacy uzbrukumus, kuros tiek izmantotas vairākas uzlabotas metodes, kas ļaunprātīgās darbības uzbrukumam pakļautajā sistēmā padara agresīvi noturīgas un vēl grūtāk ieraugāmas.

Sofacy (arī pazīstama ar nosaukumiem Fancy Bear, Sednit, STRONTIUM un APT28) ir sarežģīto mērķuzbrukumu grupa, kas darbojas vismaz kopš 2008. gada un uzbrūk galvenokārt militārām un valdības iestādēm visā pasaulē. Kopš parādīšanās sabiedrības redzeslokā 2014. gadā grupa nav pārtraukusi darbību. Turklāt Kaspersky Lab eksperti Sofacy arsenālā ir atklājuši jaunus, vēl vairāk pilnveidotus rīkus.

Jaunais rīku komplekts

  • Aizstājošs: uzbrucēji izmanto vairākas sāndurvis, lai inficētu upuri ar vairākiem atšķirīgiem ļaunrīkiem, no kuriem viens kalpo par atkārtotas inficēšanas rīku, ja citu ir bloķējis vai likvidējis drošības risinājums.

  • Modulārs: uzbrucēji izmanto ļaunprogrammatūru modulēšanu, dažas sāndurvju funkcijas izvietojot atsevišķos moduļos, lai labāk noslēptu ļaunprātīgo darbību uzbrukumam pakļautajā sistēmā. Šī tendence kļūst arvien populārāka, un Kaspersky Lab to regulāri novēro mērķuzbrukumos.

  • Skar fiziski izolētus datortīklus: daudzos jaunākajos uzbrukumos (2015. gadā) grupa izmantoja sava USB zagšanas implanta jauno versiju, kas ļauj kopēt datus no fiziski izolētiem datoriem.

Noturības taktika un datu eksfiltrācijas rīks: kā tas darbojas

Šķietami jaunā uzbrukumu vilnī 2015. gadā kādai aizsardzības nozares mērķorganizācijai tika uzbrukts ar AZZY — sāndurvīm, ko grupa Sofacy parasti izmanto, lai nostiprinātos uzbrukumam pakļautajā mašīnā un varētu lejupielādēt papildu ļaunrīkus. Kaspersky Lab izstrādājumi sekmīgi bloķēja šo ļaunprogrammatūru, un ar to visam vajadzēja beigties. Taču turpmākie notikumi bija diezgan neparasti: tikai vienu stundu pēc Trojas zirga bloķēšanas uzbrucēji jau bija sakompilējuši un lejupielādējuši mērķa datorā citu — jaunāku — šo sāndurvju versiju. Šī versija izvairījās no parastajām antivīrusu tehnoloģijām, taču to tomēr strauji atklāja centralizētā ielaušanās novēršanas apakšsistēma (HIPS).

Šis zibenīgais atkārtotais Sofacy uzbrukums piesaistīja Kaspersky Lab speciālistu uzmanību, un viņi sāka to pētīt dziļāk. Ļoti drīz viņi atklāja, ka šī jaunā sāndurvju versija tika lejupielādēta nevis caur nulles dienas ievainojamību (kas bija zināma parastā grupas Sofacy prakse), bet gan ar vēl kādu implantu, kas tika atklāts turpmākajā izmeklēšanā (un kam tā autori ir piešķīruši nosaukumu msdeltemp.dll).

Trojas zirgs msdeltemp.dll ir lejupielādētājrīks, kas ļauj uzbrucējiem nosūtīt komandas uz inficēto mašīnu un saņemt datus no tās. To var arī izmantot, lai augšupielādētu sistēmā sarežģītāku Trojas zirgu. Ja antivīrusu izstrādājums nobloķē papildu sāndurvis, uzbrucēji joprojām var izmantot Trojas zirgu msdeltemp.dll, lai paņemtu jaunu versiju no komandvadības servera un pārinstalētu to uzbrukumam pakļautajā mašīnā.

Šis ir piemērs, kā vairākas sāndurvis tiek izmantotas, lai nodrošinātu ārkārtīgu noturību. Pati taktika nav jauna, un jau agrāk ir novērots, kā Sofacy to īsteno. Taču agrāk grupa izmantoja nometējus, lai instalētu divas sāndurvis SPLM and AZZY. Ja vienas no tām tiktu atklātas, otras nodrošinātu uzbrucējiem nepārtrauktu piekļuvi. Izpildot jauno uzbrukumu vilni, grupas taktika ir mainījusies: tagad tā lejupielādē pārkompilētu AZZY versiju, lai aizstātu bloķēto bez nepieciešamības vēlreiz veikt visu sākotnējo inficēšanas procesu.

Arī komandvadības komunikācijas funkciju atdalīšana no galvenajām sāndurvīm ir veids, kā samazināt galveno sāndurvju pamanāmību. Tā kā tās tieši nepārsūta datus ārpus uzbrukumam pakļautā datora, no drošības viedokļa tās izskatās mazāk aizdomīgas.

Līdztekus pārmaiņām noturības taktikā Kaspersky Lab eksperti ir konstatējuši ar vairākas jaunas Sofacy USB zagšanas moduļu versijas, kas ļauj zagt datus no fiziski izolētiem (air-gapped) tīkliem. USBSTEALER modulis ir izstrādāts, lai uzraudzītu noņemamos datu nesējus un vāktu datnes no tiem atbilstoši uzbrucēju definētam noteikumu kopumam. Nozagtie dati tiek iekopēti slēptā direktorijā, no kurienes uzbrucēji tos var eksfiltrēt, izmantojot vienu no AZZY implantiem.

Jaunās paaudzes USB zagšanas moduļa pirmās versijas ir datējamas ar 2015. gada februāri un, šķiet, ir vērstas vienīgi pret augsta statusa upuriem.

«Parasti, kad kāds publicē pētījumu par noteiktu kiberspiegošanas grupu, šī grupa reaģē: vai nu pārtrauc darbību, vai krasi maina taktiku un stratēģiju. Ar Sofacy tas ne vienmēr tā notiek. Mēs jau vairākus gadus novērojam viņu uzbrukumus, un drošības kopiena daudz reižu ir ziņojusi par grupas darbību. 2015. gadā grupas aktivitāte ir būtiski palielinājusies, izvēršot vismaz piecas nulles dienas ievainojamības, kas padara Sofacy par vienu no ražīgākajiem, veiklākajiem un enerģiskākajiem apdraudējumu arēnas dalībniekiem. Mums ir pamats uzskatīt, ka šie uzbrukumi turpināsies,» sacīja Kaspersky Lab Globālās pētniecības un analīzes grupas direktors Kostins Raju.