(Roma, 20 febbraio 2018) – Il Global Research and Analysis Team di Kaspersky Lab ha pubblicato un’indagine sull’attivita’ nel 2017 del gruppo criminale Sofacy, anche noto come APT 28 e Fancy Bear, per aiutare le organizzazioni di tutto il mondo a comprendere meglio e proteggersi dall’attivita’ nociva del gruppo.

Sofacy e’ un gruppo di cyberspionaggio estremamente attivo e prolifico. La rivelazione, nel 2016, della sua presenza – insieme ad APT29 – nel network del Comitato nazionale democratico (DNC) degli Stati Uniti ha attirato l’attenzione dei media ma si tratta solo di una piccola parte della storia.

Il Global Research and Analysis Team di Kaspersky Lab ha studiato l’attivita’ del gruppo di lingua russa per molti anni e nel 2017 ha descritto nel dettaglio i suoi ultimi tool, tecniche e obiettivi.

Di seguito le principali scoperte pubblicate nel report:

• All’inizio del 2017 il focus dell’attivita’ di Sofacy era su obiettivi legati alla NATO e all’Ucraina, mentre nel corso dell’anno l’interesse del gruppo si e’ spostato verso l’Asia centrale e persino piu’ a est entro la fine dell’anno.

• Il 2017 e’ iniziato con il compimento della campagna di spear-phishing Dealers’ Choice lanciata alla fine del 2016, che ha preso di mira organizzazioni legate agli interessi diplomatici e militari della NATO e dell’Ucraina. La portata globale di questa campagna e’ stata significativa: i dati del KSN e di terze parti confermano obiettivi in Armenia, Azerbaigian, Francia, Germania, Iraq, Italia, Kirghizistan, Marocco, Svizzera, Ucraina, Stati Uniti, Vietnam, Turchia, Polonia, Bosnia ed Erzegovina, Corea del Sud, Lettonia, Georgia, Australia, Svezia e Belgio.

• L’inizio dell’anno ha inoltre visto l’utilizzo nelle attivita’ di spear-phishing di zero day che sfruttavano una vulnerabilita’ di Microsoft Office (CVE-2017-0262) e un exploit use-after-free per l’aumento dei privilegi (che sfruttava CVE-2017-0263), usato per colpire casualmente obiettivi NATO in Europa, generalmente con informazioni sul conflitto militare siriano.

• A meta’ del 2017, i rilevamenti della backdoor SPLM di Sofacy hanno rivelato un crescente interesse per le ex repubbliche sovietiche in Asia centrale. I profili degli obiettivi includono organizzazioni commerciali e militari legate alla difesa e aziende di telecomunicazioni. Un obiettivo anomalo di SPLM scoperto dai ricercatori era un’azienda di revisione e consulenza situata in Bosnia ed Erzegovina.

• Contemporaneamente, i ricercatori hanno scoperto che il payload Zebrocy di Sofacy e il suo meccanismo di distribuzione era stato modificato e usato per colpire un piccolo, specifico sottogruppo di obiettivi. In questi attacchi, i documenti erano legati a domande di visto e immagini scansionate, controllo delle frontiere e altre note amministrative. La geografia dell’attacco sembrava piu’ vasta, con obiettivi in Medio Oriente, Europa e Asia, e sono stati principalmente prese di mira organizzazioni diplomatiche e governative, industriali e tecnologiche.

• Sono stati rilevati obiettivi degli attacchi Zebrocy e SPLM in: Afghanistan, Armenia, Australia, Azerbaigian, Bangladesh, Belgio, Cina, Germania, Estonia, Finlandia, Georgia, Israele, India, Giordania, Kuwait, Kirghizistan, Kazakistan, Libano, Lituania, Mongolia, Malesia, Paesi Bassi, Oman, Pakistan, Polonia, Arabia Saudita, Sudafrica, Corea del Sud, Svezia, Svizzera, Tagikistan, Turkmenistan, Turchia, Ucraina, Emirati Arabi Uniti, Regno Unito, Stati Uniti, Uzbekistan e Bosnia ed Erzegovina.

• Nel 2017 e’ stata rivelata parte dell’infrastruttura di Sofacy, di conseguenza i ricercatori si aspettano di vedere cambiamenti nel corso del 2018.

‘Sofacy e’ uno dei gruppiu’ criminali piu’ attivi tra quelli che monitoriamo e continua a colpire i propri obiettivi tramite spear-phishing, spesso su scala globale. I nostri dati e rilevamenti mostrano che nel 2017 il gruppo criminale ha ulteriormente sviluppato il proprio toolset, passando da un’elevata attivita’ di spear-phishing che prendeva di mira la NATO al focalizzarsi maggiormente sul Medio Oriente e sull’Asia centrale, fino a spingersi ancora piu’ a Est alla fine dell’anno. Sembra, inoltre, che alle campagne di massa siano subentrate attivita’ secondarie e malware che sfruttano tool come Zebrocy e SPLM – , ha commentato Kurt Baumgartner, Principal Security Researcher di Kaspersky Lab.

Una volta rilevata su un network la presenza di un gruppo come Sofacy, e’ importante controllare i login e gli accessi al sistema come amministratore insoliti, effettuare una scansione approfondita, spostare gli allegati in arrivo nella sandbox e usare l’autenticazione a due fattori per i servizi come l’email e la connessione VPN.

Per assicurarsi di scoprire la presenza del gruppo, e’ possibile ottenere informazioni importanti sui suoi obiettivi dai report di intelligence e potenti strumenti di rilevamento come le YARA rule. E’ inoltre importante avvalersi di una soluzione contro gli attacchi mirati, come Kaspersky Anti Targeted Attack Platform.

Per maggiori informazioni, compresi i dettagli tecnici, e’ possibile leggere il report completo su Securelist.com.

(Immediapress – Adnkronos
Immediapress e’ un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall’ente che lo emette. Padovanews non e’ responsabile per i contenuti dei comunicati trasmessi.)