El ciberespionaje Sofacy se desplaza de la OTAN hacia Ukrania y el Este

Sofacy es un grupo de ciberespionaje muy activo y prolífico

Que un 90% de los datos de toda la historia se hayan generado en estos últimos cinco años ayudando a crear una serie mercados  y sus correspondientes tecnologías y sistemas de gestión, es algo impensable hace solo una década, pero también ha ampliado los riegos en el ciberespacio. En efecto, a diario surgen nuevas “hazañas delictivas”, cada una más sofisticada que las anteriores, algo lógico por lo demás, ya que interceptar las comunicaciones es una forma económica y segura de saber qué piensan enemigos, aliados y competidores. Pero también de atacar objetivos, hundir proyectos y destrozar iniciativas.

“Lo que aprendimos desde el final de la Guerra Fría es que cuando la economía está en juego, nuestros adversarios e incluso nuestros aliados nos espiarán cuando convenga a sus intereses económicos” comentaba en marzo de 2012 Frank Figliuzzi, director de contrainteligencia del FBI a “The Wall Street Journal”.  A lo que no se refirió fue a que la ciberdelincuencia también se dedica en buena medida a atacar objetivos, hundir proyectos y destrozar iniciativas. Incluyendo ataques masivos a países.

Este es el ámbito en el que el equipo de analistas de Kaspersky Lab acaba de publicar un informe resumen de la actividad del actor de ciberespionaje Sofacy durante 2017, también conocido como APT 28 y Fancy Bear, para – aunque parezca reiterativo – ayudar a las organizaciones de todo el mundo a comprenderlo mejor y protegerse contra el mismo.

Y el momento es complicado, ya que Sofacy es un grupo de ciberespionaje muy activo y prolífico. En 2016 apareció en los medios de comunicación como responsable del hackeo del Comité Nacional del Partido Demócrata de EE.UU. junto a APT29 y en plena campaña electoral de las presidenciales.

Sofacy grupo de ciberespionaje que hace uso de varias técnicas diseñadas para lograr una persistencia agresiva y una mayor invisibilidad de la actividad maliciosa en el sistema atacado

Pero ya en diciembre de 2015 este equipo de análisis en investigación global daba a conocer nuevos ataques del grupo Sofacy, advirtiendo que hacen uso de varias técnicas diseñadas para lograr una persistencia agresiva y una mayor invisibilidad de la actividad maliciosa en el sistema atacado.

Sofacy, también conocido como “Fancy Bear”, “Sednit”, “Strontium” y “APT28”, es un grupo de ruso que guarda alguna relacion con Miniduke APT  (programa malicioso para espiar a entidades gubernamentales) activo desde al menos 2008, para atacar a entidades en su mayoría militares y gubernamentales de todo el mundo. Desde que apareció en el radar público en 2014, el grupo no ha cesado en sus actividades, si bien los expertos de Kaspersky Lab que analiza al grupo de habla rusa Sofacy desde hace ya varios años, obteniendo amplia información acerca de sus últimas herramientas, técnicas y objetivos durante 2017, han ido descubriendo nuevas herramientas maliciosas aún más avanzadas en el arsenal de Sofacy.

Lo más peligroso del temas que es, según el análisis, los atacantes que hay detrás de Sofacy utilizan múltiples backdoors para infectar a un objetivo con varias herramientas maliciosas diferentes, una de los cuales sirve como herramienta de reinfección si otra llega a ser bloqueada o eliminada por una solución de seguridad. Además, en muchos los ataques realizados ese año, el grupo Sofacy hizo uso de una nueva versión de su implante de robo USB, lo que le permite copiar datos de los equipos comprometidos.

Los atacantes utilizan también modularización del malware, poniendo algunas prestaciones de los backdoors en módulos separados para ocultar mejor la actividad maliciosa en el sistema atacado. Esta es una tendencia cada vez más popular en los ataques dirigidos.

Costin Raiu, director de investigación y análisis global de Kaspersky Lab
Costin Raiu, director de investigación y análisis
global de Kaspersky Lab

“Por lo general, cuando alguien publica una investigación sobre un grupo de ciberespionaje, el grupo reacciona, bien deteniendo su actividad bien cambiando drásticamente sus tácticas y estrategia. Con Sofacy, no ha sido el caso. Le hemos visto lanzando ataques desde hace varios años y su actividad ha sido documentada por la comunidad de seguridad varias veces. En 2015 su actividad se incrementó significativamente, con el despliegue de no menos de cinco ataques 0-Day, haciendo de Sofacy uno de los autores de amenazas más prolíficos, ágiles y dinámicos de la actualidad. Tenemos razones para creer que estos ataques continuarán”, explicaba Costin Raiu, director de investigación y análisis global de Kaspersky Lab.

¿Giro en los objetivos?

Durante 2017, la actividad de Sofacy experimentó un cambio notorio, de desplazó desde un fuerte enfoque a objetivos relacionados con la OTAN y Ucrania a principios de año, a un interés creciente en Asia central e incluso más el Este a finales de año.

En efecto, el año empezó con la culminación de la campaña de spear-phishing en la que el actor utilizaba Dealers’ Choice para la distribución de malware, activa desde finales de 2016 y dirigida contra organizaciones relacionadas con Ucrania, intereses militares y diplomáticos, y OTAN. En la primera parte del año también se detectó la adopción en ataques de spear-phishing de una pareja de zero-days explotando la vulnerabilidad de Microsoft (CVE-2017-0262) y la vulnerabilidad use-after-free (CVE-2017-0263) para escalar privilegios. Este ataque tenía fundamentalmente como objetivo a la OTAN en Europa, y se distribuía usando contenido relacionado con el conflicto militar sirio.

Sofacy es un grupo de ciberespionaje muy activo y prolífico

A mediados de 2017 detecciones del backdoor SPLM de Sofacy revelaron un foco de actividad continuo en las repúblicas exsoviéticas de Asia central. Los perfiles de los objetivos incluían organizaciones militares y comerciales relacionadas con la defensa y las telecomunicaciones. Un objetivo atípico del SPLM detectado por los analistas fue una empresa de auditoría y consultoría en Bosnia y Herzegovina.

Junto con todo esto, los analistas descubrieron que el mecanismo de entrega Zebrocy usado por Sofacy se estaba actualizando para alcanzar a un subconjunto pequeño y específico de objetivos. Para estos ataques, el contenido de los correos spear-phishing estaba relacionado con peticiones de visado, imágenes escaneadas, administración del control de sesiones y otras notas administrativas.  El foco estaba repartido entre Oriente Próximo, Europa y Asia, y dirigido contra objetivos industriales, tecnológicos, gubernamentales y diplomáticos, entre otros.

Durante 2017, se hizo pública parte de la infraestructura usada por Sofacy, por lo que los analistas esperan ver cambios en la misma durante 2018.

Kurt Baumgartner, analista principal de seguridad de Kaspersky Lab
Kurt Baumgartner, analista principal de seguridad
de Kaspersky Lab

“Sofacy es uno de los actores de espionaje más activos que seguimos, y continúa lanzando importantes ataques contra objetivos, a menudo con una escala global. Nuestros datos y las detecciones que realizamos muestran que en 2017 Sofacy desarrolló su conjunto de herramientas a medida que viraba su interés desde la OTAN hacia países del Oriente Próximo y Asia central, antes de dirigirse finalmente más hacia el Este. Las campañas masivas parecen haber dado paso a subconjuntos de actividad y malware más específico que incluyen herramientas como Zebrocy y SPLM”, ha comentado Kurt Baumgartner, analista principal de seguridad de Kaspersky Lab.

Una vez que se detecta actividad de un actor como Sofacy en una red, es importante revisar los inicios de sesión y los accesos inusuales de los administradores de sistemas, escanear minuciosamente los archivos adjuntos entrantes y mantener la autenticación de dos factores para servicios como el correo electrónico y el acceso VPN.

Con el fin de identificar su presencia, es importante disponer de información actualizada acerca de sus campañas objetivos a través de informes de inteligencia, y también utilizar herramientas de caza tan potentes como YARA. También merece la pena invertir en una solución como Kaspersky Anti Targeted Attack Platform.

DATOS PARA UN INFORME
 

* La campaña de spear-phishing en la que se utilizaba Dealers’ Choice para distribución de malware, activa desde finales de 2016 estaba dirigida contra organizaciones relacionadas con Ucrania, intereses militares y diplomáticos, y OTAN. El alcance global de esta campaña fue notable, con víctimas confirmadas tanto por Kaspersky Lab como por terceros en Armenia, Azerbaiyán, Francia, Alemania, Irak, Italia, Kirguistán, Marruecos, Suiza, Ucrania, Estados Unidos, Vietnam, Turquía, Polonia, Bosnia y Herzegovina, Azerbaiyán, Corea del Sur, Letonia, Georgia, Australia, Suecia y Bélgica.

* Campañas masivas previas han dado paso a subconjuntos de actividad más definidos que incluyen herramientas como Zebrocy y SPLM. Se detectaron objetivos de Zebrocy y SPLM en: Afganistán, Armenia, Australia, Azerbaiyán, Bangladesh, Bélgica, China, Alemania, Estonia, Finlandia, Georgia, Israel, India, Jordania, Kuwait, Kirguistán, Kazajstán, Líbano, Lituania, Mongolia, Malasia, Países Bajos, Omán, Pakistán, Polonia, Arabia Saudita, Sudáfrica, Corea del Sur, Suecia, Suiza, Tayikistán, Turkmenistán, Turquía, Ucrania, Emiratos Árabes Unidos, Reino Unido, Estados Unidos, Uzbekistán y Bosnia y Herzegovina.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.