«Ανατομή» της ομάδας κατασκοπείας Sednit

14700835_1292190477481469_6530441654809183048_o

Οι ερευνητές της  ESET ανακοίνωσαν ότι προχώρησαν στην κλιμακωτή έκδοση μίας εκτεταμένης  ερευνητικής εργασίας 3 τμημάτων με τίτλο «En-Route with Sednit». Η Sednit, μια διαβόητη ομάδα κυβερνο-εγκληματιών – επίσης γνωστή ως APT28, Fancy Bear και Sofacy, λειτουργεί από το 2004, επιδιώκοντας κυρίως την κλοπή εμπιστευτικών πληροφοριών από συγκεκριμένους στόχους.

  •  Το 1ο Μέρος: «En Route with Sednit: Approaching the Target» επικεντρώνεται στους στόχους των εκστρατειών phishing, τις μεθόδους επίθεσης που χρησιμοποιούνται και το πρώτο στάδιο malware που ονομάζεται SEDUPLOADER, και που αποτελείται από ένα dropper και το σχετικό φορτίο του.
  • Το 2ο Μέρος: «En Route with Sednit: Observing the Comings and Goings» καλύπτει τις δραστηριότητες της Sednit από το 2014 και μελετά την εργαλειοθήκη κατασκοπείας που χρησιμοποιείται για τη μακροπρόθεσμη παρακολούθηση των παραβιασμένων υπολογιστών μέσω των δύο backdoors (SEDRECO και XAGENT), καθώς και το εργαλείο δικτύου XTUNNEL.
  • Το 3ο Μέρος: «En Route with Sednit: A Mysterious Downloader» περιγράφει το λογισμικό first stage που ονομάζεται DOWNDELPH, το οποίο, σύμφωνα με τα στοιχεία της τηλεμετρίας της ESET έχει χρησιμοποιηθεί μόνο επτά φορές. Αξίζει να σημειωθεί ότι σε ορισμένες από αυτές τις χρήσεις εφαρμόστηκαν προηγμένες μέθοδοι παραμονής: Windows bootkit και Windows rootkit.

«Το διαρκές ενδιαφέρον της ESET για αυτές τις κακόβουλες δραστηριότητες προέκυψε από την ανίχνευση ενός εντυπωσιακού αριθμού προσαρμοσμένου λογισμικού που είχε αναπτύξει η ομάδα Sednit τα τελευταία δύο χρόνια», είπε ο Alexis DoraisJoncas, επικεφαλής της ομάδας ESET Security Intelligence, που είναι υπεύθυνη για τη διερεύνηση του μυστηρίου που κρύβεται πίσω από την ομάδα Sednit. «Τα όπλα της ομάδας Sednit είναι σε συνεχή ανάπτυξη. Η ομάδα χρησιμοποιεί ολοκαίνουργιο λογισμικό και τεχνικές σε τακτική βάση, ενώ η ναυαρχίδα του κακόβουλου λογισμικού τους έχει εξελιχθεί σημαντικά τα τελευταία χρόνια.»

Σύμφωνα με τους ερευνητές της ESET, τα δεδομένα που συλλέγονται από τις εκστρατείες phishing της ομάδας Sednit δείχνουν ότι πάνω από 1.000 άτομα υψηλού προφίλ που εμπλέκονται στην πολιτική της Ανατολικής Ευρώπης δέχθηκαν επίθεση. «Επιπλέον, η ομάδα Sednit, σε αντίθεση με οποιαδήποτε άλλη ομάδα κατασκοπείας, ανέπτυξε το δικό της exploit kit και ανέπτυξε ένα εκπληκτικά υψηλό αριθμό 0-day exploits», κατέληξε o DoraisJoncas.

Κατά τα τελευταία χρόνια, οι δραστηριότητες υψηλού προφίλ της ομάδας έχουν προσελκύσει το ενδιαφέρον πολλών ερευνητών στον τομέα αυτό. Κατά συνέπεια, η προβλεπόμενη συνεισφορά του συγκεκριμένου εγγράφου είναι να προσφέρει μια ευανάγνωστη τεχνική περιγραφή, με αυστηρά ομαδοποιημένους δείκτες IOC (Indicators of Compromise), άμεσα διαθέσιμη τόσο σε ερευνητές όσο και σε όσους είναι επιφορτισμένοι με την ανάλυση των ανιχνεύσεων της ομάδας Sednit.

Και τα τρία μέρη της έρευνας είναι αποθηκευμένα στο λογαριασμό GitHub της ESET.

Για περισσότερες πληροφορίες, οι ενδιαφερόμενοι, μπορούν να επισκεφθούν το portal WeLiveSecurity.com της ESET, όπου είναι διαθέσιμο το εισαγωγικό blogpost για το 1ο Μέρος 1, το 2ο Μέρος & το 3ο Μέρος ή να αναζητήσουν ξεχωριστά το καθένα στην πλήρη του μορφή  :

1ο Μέρος: «En Route with Sednit: Approaching the Target»

2ο Μέρος: «En Route with Sednit: Observing the Comings and Goings» 

3ο Μέρος: «En Route with Sednit: A Mysterious Downloader»

Η ESET θα εκδώσει επίσης μία σύνοψη όλων των μερών στο WeLiveSecurity.com.




%d bloggers like this: