Rosyjska grupa hakerska Fancy Bear bierze na cel organizacje wojskowe

Jak donosi Kaspersky Lab obserwuje się podobne działania ze strony hakerów nie tylko w odniesieniu do obiektów i organizacji w Europie i USA, co było dotąd dość typowym kręgiem zainteresowania grupy, ale też w Azji.

Badacze z Kaspersky Lab zaobserwowali, że rosyjskojęzyczna grupa cyberprzestępczea Sofacy (znana także pod nazwami APT28 i Fancy Bear) zmieniła nieco swój krąg zainteresowań. Atakuje obecnie cele na Dalekim Wschodzie, wykazując duże zainteresowanie organizacjami wojskowymi, obronnymi oraz dyplomatycznymi – poza tradycyjnymi celami związanymi z NATO. Badacze odkryli, że działania Sofacy niekiedy pokrywają się z operacjami innych ugrupowań cyberprzestępczych, które atakują te same ofiary, w tym z rosyjskojęzycznym ugrupowaniem Turla i chińskojęzycznym Danti. Co najciekawsze, narzędzia grupy Sofacy zostały znalezione na serwerze, który wcześniej został zhakowany przez angielskojęzyczne ugrupowanie cyberprzestępcze Lamberts. Serwer należy do wojskowego i lotniczego konglomeratu w Chinach.

Z Chin jest co wykradać jeśli chodzi o technologię lotniczą. Na zdjęciu nowy samolot wielozadaniowy chińskiej armii: J-31. Owszem, trochę podobny do F22, chińskie produkty często tak mają 😉 (fot. militarytech)

Kaspersky Lab od lat monitoruje działania grupy Sofacy. Z opublikowanego przez firmę jeszcze w lutym raportu wynika, że grupa ta stopniowo odchodzi od celów związanych z NATO na rzecz tych zlokalizowanych na Bliskim Wschodzie, w Azji Środkowej i innych regionach. Sofacy wykorzystuje technikę spear-phishing (spersonalizowane wiadomości phishingowe), a niekiedy water-holing (infekowanie popularnych, legalnych stron WWW) w celu kradzieży informacji, w tym danych uwierzytelniających, poufnych informacji i dokumentów. Ugrupowanie to jest również podejrzewane o dostarczanie do atakowanych obiektów różnych destrukcyjnych funkcji.

Grupa Sofacy to tylko jedno z wielu hakerskich ugrupowań rosyjskojęzycznych o wzmożonej aktywności w ostatnim czasie (fot. Kaspersky Lab)

Sofacy utrzymuje aktualnie osobne podgrupy dla każdego ze swoich głównych narzędzi. Są to zespoły związane z kodowaniem, rozwojem oraz wybieraniem celów dla backdoora SPLM (znanego również jako CHOPSTICK oraz Xagent), GAMEFISH i Zebrocy. SPLM stanowi główne i najbardziej selektywne narzędzie, podczas gdy Zebrocy jest wykorzystywany w atakach masowych. Według badaczy na początku 2018 r. Sofacy zaatakował przy użyciu SPLM duże organizacje komercyjne związane z obroną powietrzną w Chinach, jednocześnie implementując szerzej Zebrocy w Armenii, Turcji, Kazachstanie, Tadżykistanie, Afganistanie, Mongolii, Chinach oraz Japonii.

Zdaniem ekspertów z Kaspersky Lab ostatnio dochodzi do wręcz rywalizacji o ofiary wśród grup cyberprzestępczych. W przypadku ugrupowania Sofacy badacze zidentyfikowali przypadki, gdy należące do niego szkodliwe oprogramowanie Zebrocy rywalizowało o ofiary z rosyjskojęzycznymi atakami Mosquito Turla. Z kolei stosowana przez Sofacy tylna furtka SPLM rywalizowała z tradycyjnymi atakami Turla oraz chińskojęzycznymi atakami Danti. Wśród wspólnych celów ataków znajdowały się środkowoazjatyckie organizacje technologiczne, naukowe, wojskowe oraz związane z administracją rządową. Skoro dochodzi do podobnej rywalizacji, to należy zadać sobie pytanie o to, czy grupy wybierają cele indywidualnie, czy może są zachęcane przez inny, np. państwowy czynnik. Oczywiście niczego nie sugeruję, ale trzyliterowy skrót, którym jeszcze dekadę temu określaliśmy magistralę systemową Front Side Bus jakoś sam przychodzi do głowy.

Niegdyś śmiertelni wrogowie, dziś Japonia i USA to blisko związani sojusznicy. Tym bardziej zrozumiałe jest dlaczego rosyjskojęzyczna grupa hakerska interesuje się calami m.in. właśnie w Japonii. Na zdjęciu admirał US Navy podczas ceremonii w Ministerstwoe Obrony Japonii (fot. Joint Staff Public Affairs)

Najciekawszy przykład pokrywania się różnych ataków dotyczy tych przeprowadzanych przez Sofacy i angielskojęzyczne ugrupowanie cyberprzestępcze Lamberts. Badacze odkryli to po dostrzeżeniu obecności Sofacy na serwerze, który został wcześniej zidentyfikowany na podstawie analityki zagrożeń jako zainfekowany szkodliwym oprogramowaniem Grey Lambert. Serwer ten należy do chińskiego konglomeratu, który projektuje i wytwarza technologie lotnicze oraz obrony powietrznej.

Ugrupowanie Sofacy jest niekiedy przedstawiane jako impulsywne i nierozważne, jednak według zdaniem Kaspersky Lab to pozory. Zdaniem ekspertów firmy mającej przecież wieloletnie doświadczenie w badaniu aktywności grup hakerskich Sofacy często zachowuje się w sposób pragmatyczny, wyważony i sprawny.

Jego aktywność na Wschodzie w dużej mierze pozostaje nienagłośniona, ale z pewnością nie jest to jedyne ugrupowanie cyberprzestępcze zainteresowane tym regionem, czy nawet tymi samymi celami. W miarę jak krajobraz zagrożeń staje się coraz bardziej zatłoczony i złożony, nieuniknione są kolejne przypadki „nakładania się celów” – co może tłumaczyć, dlaczego wiele ugrupowań cyberprzestępczych sprawdza systemy ofiar pod kątem obecności innych intruzów, zanim przeprowadzi właściwe ataki – powiedział Kurt Baumgartner, główny badacz bezpieczeństwa, Kaspersky Lab.

Wygląda na to, że grupa jest dobrze zorganizowana, a cele jej ataków dziwnym trafem sięgają tam gdzie swoje żywotne interesy ma Federacja Rosyjska. Nie musi to oczywiście oznaczać, że działa ona na zlecenie Kremla, ale biorąc pod uwagę zamiłowanie władzy naszego wielkiego, wschodniego sąsiada, do działań, mówiąc delikatnie, zakulisowych, nietrudno uznać taki scenariusz za dość prawdopodobny. | CHIP