Noi di Kaspersky Lab monitoriamo numerosissime minacce informatiche (e i relativi gruppi che ci sono dietro), creiamo dei report a riguardo e proteggiamo i nostri utenti; alcuni di questi gruppi sono conosciuti a livello internazionale e, a volte, si fanno spazio su giornali e notiziari. Non importa quale sia la lingua che parlano, il nostro compito è di raccogliere informazioni su questi gruppi e minacce, effettuando le opportune ricerche, con lo scopo di proteggere i nostri clienti.
Uno dei gruppi più attivi nei paesi di lingua russa è l’APT chiamata Sofacy, conosciuta anche come APT28, Fancy Bear o Tsar Team ed è nota soprattutto per le sue campagne di spear phishing e attività di cyberspionaggio. Durante il 2017, questo gruppo ha cambiato il suo modo di operare e i suoi interessi, e vale la pena mettervi al corrente.
Seguiamo i movimenti di Sofacy fin dal lontano 2011 e conosciamo bene gli strumenti e le tattiche che impiega. Nel secondo trimestre del 2017, il cambiamento principale riguarda il suo passare dai paesi NATO (dove era solita perpetrare i suoi attacchi di spear phishing) a paesi di Asia e Medio Oriente (e oltre). In passato, Sofacy ha anche colpito i Giochi Olimpici, l’Agenzia Mondiale Antidoping (WADA) e il Tribunale Arbitrale dello Sport (CAS).
Sofacy si avvale di strumenti differenti a seconda dell’obiettivo. Ad esempio, all’inizio del 2017 la campagna Dealer’s Choice ha visto come vittime principali gli enti militari e diplomatici soprattutto di Ucraina e paesi NATO; in seguito, gli hacker hanno utilizzato altri due strumenti, che abbiamo chiamato Zabrocy e SPLM, per colpire aziende di vario profilo, tra cui centri scientifici, di ingegneria o servizi stampa. Entrambi i tool sono cambiati notevolmente quest’anno, in particolare SPLM (chiamato anche Chopsticks) che è passato ad essere modulare e a utilizzare comunicazioni cifrate.
Lo schema di infezione inizia con una mail di spear phishing che contiene un file con uno script che scarica il payload. Sofacy è conosciuto anche per individuare e sfruttare le vulnerabilità zero-day e per diffondere il payload mediante questi exploit. Si tratta di un gruppo dalla grande efficacia e fa di tutto per non farsi scoprire (e, di conseguenza, risulta difficile effettuare delle ricerche al riguardo).
Quando si ha a che fare con campagne mirate così sofisticare come Sofacy, la ricerca sugli incidenti già avvenuti è fondamentale: in questo modo si può capire cosa cercano i cybercriminali, il perché e si possono individuare eventuali impianti dormienti.
Su Securelist potete trovare informazioni tecniche più dettagliate sull’attività di questo gruppo nel 2017. Inoltre, all’inizio di quest’anno, i nostri ricercatori hanno riscontrato alcuni cambiamenti interessanti nel comportamento di Sofacy, di cui parleremo nella nostra prossima conferenza SAS 2018. Se vi interessa l’argomento APT e come difendersi, vi invitiamo a comprare il vostro biglietto per la conferenza, oppure potete visitare i nostri blog per scoprire tutte le novità dal SAS.