Ανατομή της ομάδας κατασκοπείας Sednit

Οι ερευνητές της  ESET ανακοίνωσαν ότι προχώρησαν στην κλιμακωτή έκδοση μίας εκτεταμένης  ερευνητικής εργασίας 3 τμημάτων με τίτλο «En-Route with Sednit». Η Sednit, μια διαβόητη ομάδα κυβερνο-εγκληματιών – επίσης γνωστή ως APT28, Fancy Bear και Sofacy, λειτουργεί από το 2004, επιδιώκοντας κυρίως την κλοπή εμπιστευτικών πληροφοριών από συγκεκριμένους στόχους.Sednit keyboard

  •          Το 1ο Μέρος: «En Route with Sednit: Approaching the Target» επικεντρώνεται στους στόχους των εκστρατειών phishing, τις μεθόδους επίθεσης που χρησιμοποιούνται και το πρώτο στάδιο malware που ονομάζεται SEDUPLOADER, και που αποτελείται από ένα dropper και το σχετικό φορτίο του.
  •          Το 2ο Μέρος: «En Route with Sednit: Observing the Comings and Goings» καλύπτει τις δραστηριότητες της Sednit από το 2014 και μελετά την εργαλειοθήκη κατασκοπείας που χρησιμοποιείται για τη μακροπρόθεσμη παρακολούθηση των παραβιασμένων υπολογιστών μέσω των δύο backdoors (SEDRECO και XAGENT), καθώς και το δικτύου XTUNNEL.
  •          Το 3ο Μέρος: «En Route with Sednit: A Mysterious Downloader» περιγράφει το λογισμικό first stage που ονομάζεται DOWNDELPH, το οποίο, σύμφωνα με τα της τηλεμετρίας της έχει χρησιμοποιηθεί μόνο επτά φορές. Αξίζει να σημειωθεί ότι σε ορισμένες από αυτές τις χρήσεις εφαρμόστηκαν προηγμένες μέθοδοι παραμονής: Windows bootkit και Windows rootkit.

«Το διαρκές ενδιαφέρον της ESET για αυτές τις κακόβουλες δραστηριότητες προέκυψε από την ανίχνευση ενός εντυπωσιακού αριθμού προσαρμοσμένου λογισμικού που είχε αναπτύξει η ομάδα τα τελευταία δύο χρόνια”, είπε ο Alexis DoraisJoncas, επικεφαλής της ομάδας ESET Security Intelligence, που είναι υπεύθυνη για τη διερεύνηση του μυστηρίου που κρύβεται πίσω από την ομάδα Sednit.

“Τα όπλα της ομάδας είναι σε συνεχή ανάπτυξη. Η ομάδα χρησιμοποιεί ολοκαίνουργιο λογισμικό και τεχνικές σε τακτική βάση, ενώ η ναυαρχίδα του κακόβουλου λογισμικού τους έχει εξελιχθεί σημαντικά τα τελευταία χρόνια.”

Σύμφωνα με τους ερευνητές της ESET, τα που συλλέγονται από τις εκστρατείες phishing της ομάδας Sednit δείχνουν ότι πάνω από 1.000 άτομα υψηλού προφίλ που εμπλέκονται στην πολιτική της Ανατολικής Ευρώπης δέχθηκαν επίθεση. «Επιπλέον, η ομάδα Sednit, σε αντίθεση με οποιαδήποτε άλλη ομάδα κατασκοπείας, ανέπτυξε το δικό της exploit kit και ανέπτυξε ένα εκπληκτικά υψηλό αριθμό 0-day exploits», κατέληξε o DoraisJoncas.

Κατά τα τελευταία χρόνια, οι δραστηριότητες υψηλού προφίλ της ομάδας έχουν προσελκύσει το ενδιαφέρον πολλών ερευνητών στον τομέα αυτό. Κατά συνέπεια, η προβλεπόμενη συνεισφορά του συγκεκριμένου εγγράφου είναι να προσφέρει μια ευανάγνωστη τεχνική περιγραφή, με αυστηρά ομαδοποιημένους δείκτες IOC (Indicators of Compromise), άμεσα διαθέσιμη τόσο σε ερευνητές όσο και σε όσους είναι επιφορτισμένοι με την ανάλυση των ανιχνεύσεων της ομάδας Sednit.

Και τα τρία μέρη της έρευνας είναι αποθηκευμένα στο λογαριασμό GitHub της ESET.

Για περισσότερες , οι ενδιαφερόμενοι, μπορούν να επισκεφθούν το portal WeLiveSecurity.com της ESET, όπου είναι διαθέσιμο το εισαγωγικό blogpost για το 1ο Μέρος 1, το 2ο Μέρος & το 3ο Μέρος ή να αναζητήσουν ξεχωριστά το καθένα στην πλήρη του μορφή  :

1ο Μέρος: «En Route with Sednit: Approaching the Target»

2ο Μέρος: «En Route with Sednit: Observing the Comings and Goings» 

3ο Μέρος: «En Route with Sednit: A Mysterious Downloader»

Η ESET θα εκδώσει επίσης μία σύνοψη όλων των μερών στο WeLiveSecurity.com

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).