Utrecht, 9 maart 2018 – Onderzoekers van Kaspersky Lab hebben vastgesteld dat de Russischtalige hackgroep Sofacy, ook bekend als APT28 of Fancy Bear, zijn focus heeft verlegd naar het Verre Oosten. Daarbij toont het sterke interesse in militaire, defensie- en diplomatieke organisaties - naast traditionele NAVO-gerelateerde doelwitten. De onderzoekers ontdekten dat Sofacy bij het selecteren van doelwitten soms overlappingen vertoont met andere hackgroepen, onder meer met het Russischtalige Turla en het Chinees sprekende Danti. Het meest intrigerend was echter de vondst van Sofacy backdoors op een server die eerder gecompromitteerd was door de Engelstalige dreigingsactor achter de Lamberts. De server behoort tot een militair- en ruimtevaartconglomeraat in China.
Sofacy is een zeer actieve en productieve cyberspionagegroep die al jaren wordt gevolgd door Kaspersky Labs onderzoekers. In februari publiceerde Kaspersky Lab een
overzicht van Sofacy's activiteiten in 2017. Hieruit bleek een geleidelijke verschuiving van NAVO-gerelateerde doelwitten naar het Midden-Oosten, Centraal-Azië en verder. Sofacy gebruikt spear-phishing en soms ook water-holing om informatie te stelen, waaronder accountgegevens, gevoelige communicatie en documenten. Ook wordt het verdacht van het aanleveren van destructieve payloads bij verschillende doelwitten.
De nieuwe bevindingen tonen aan dat Sofacy niet de enige rover is die het op deze regio's voorzien heeft, en dat dit soms leidt tot een overlapping van doelwitten tussen zeer verschillende dreigingsactoren. In het geval van Sofacy ontdekten onderzoekers scenario's waarin hun Zebrocy-malware concurreerde met Russischtalige Mosquito Turla-clusters om toegang te verkrijgen tot slachtoffers; terwijl hun SPLM-backdoor concurreerde met traditionele Turla- en Chineestalige Danti-aanvallen. Tot de gedeelde doelwitten behoorden overheidsadministratie-, technologie-, wetenschap- en militairgerelateerde organisaties in of uit Centraal-Azië.
In sommige gevallen bleken doelwitten gelijktijdig het slachtoffer te zijn geweest van afzonderlijke aanvallen van zowel SPLM en Zebrocy. De meest opmerkelijke overlapping is echter waarschijnlijk die tussen Sofacy en de Engelstalige dreigingsactor achter de Lamberts. De verbinding werd ontdekt nadat onderzoekers de aanwezigheid van Sofacy detecteerden op een server die eerder was geïdentificeerd als zijnde aangetast door Gray Lambert-malware. De server behoort tot een Chinees conglomeraat dat luchtvaart- en luchtverdedigingstechnologieën ontwerpt en produceert.
In dit voorbeeld blijft de oorspronkelijke SPLM-aanleveringsvector voor Sofacy echter onbekend. Dat roept een aantal hypothetische mogelijkheden op, waaronder het feit dat Sofacy gebruik zou kunnen maken van een nieuwe en nog niet gedetecteerde exploit van hun backdoor; of dat Sofacy op een of andere wijze de communicatiekanalen van Gray Lambert heeft weten te benutten om hun malware te downloaden. Het kan zelfs betekenen dat de Sofacy-indicatoren een valse vlag zouden kunnen zijn, geplant door de eerdere Lambert-malware. Volgens onderzoekers is het meest waarschijnlijke antwoord dat in dit geval een onbekend nieuw PowerShell-script of een legitieme, maar kwetsbare web-app werd benut om de SPLM-code te laden en uit te voeren. Onderzoek hiernaar is nog gaande.
“Sofacy wordt soms afgeschilderd als wild en roekeloos, maar zoals blijkt uit onze waarneming kan de groep pragmatisch, afgemeten en flexibel zijn. Er zijn over het algemeen weinig meldingen over hun activiteiten in het Verre Oosten, maar ze zijn duidelijk niet de enige dreigingsactor die is geïnteresseerd in deze regio, of zelfs in dezelfde doelwitten. Naarmate het dreigingslandschap steeds drukker en complexer wordt, kunnen we meer voorbeelden tegenkomen van overlappende doelwitten - en dat zou kunnen verklaren waarom veel dreigingsactoren de systemen van slachtoffers eerst controleren op de aanwezigheid van andere indringers voordat ze hun aanvallen vol lanceren", aldus Kurt Baumgartner, Principal Security Researcher bij Kaspersky Lab.
Onderzoekers stelden ook vast dat Sofacy nu voor ieder van haar belangrijkste tools afzonderlijke subdivisies gebruikt, met clusters voor het coderen, ontwikkelen en richten van SPLM (ook bekend als CHOPSTICK en Xagent), GAMEFISH en Zebrocy. SPLM wordt beschouwd als Sofacy's primaire en meest gebruikte ‘tweede fase’-tool, terwijl Zebrocy wordt gebruikt voor hoog volume-aanvallen. Volgens onderzoekers richtte Sofacy zich met SPLM begin 2018 op grote commerciële organisaties op het gebied van luchtverdediging in China, terwijl het Zebrocy op grotere schaal inzette in Armenië, Turkije, Kazachstan, Tadzjikistan, Afghanistan, Mongolië, China en Japan.
Alle Kaspersky Lab-producten detecteren en blokkeren met succes alle bekende Sofacy-aanvallen, waarbij sommige meer uitdagende desinfecties een herstart kunnen vereisen.
Voor organisaties met militaire, defensie- en buitenlandse zaken-gerelateerde activiteiten in de getroffen regio's beveelt Kaspersky Lab de volgende maatregelen aan om te voorkomen dat ze het slachtoffer worden van een geavanceerde gerichte aanval:
- Gebruik een beproefde beveiligingsoplossing van bedrijfskwaliteit in combinatie met technologieën tegen gerichte aanvallen en informatie over dreigingen, zoals de Kaspersky Threat Management and Defense oplossing. Deze zijn in staat geavanceerde gerichte aanvallen te signaleren en op te vangen door netwerkonregelmatigheden te analyseren. Daarnaast geven ze cyberbeveiligingsteams volledig zicht op het netwerk en responsautomatisering;
- Bied beveiligingspersoneel toegang tot de meest recente informatie over dreigingsinlichtingen, om hen te bewapenen met nuttige instrumenten voor onderzoek naar en preventie van gerichte aanvallen, zoals Indicators of Compromise (IOC), YARA en aangepaste geavanceerde dreigingsrapportages;
- Wanneer u vroege indicatoren van een gerichte aanval ontdekt, overweeg dan managed protection services die u proactief geavanceerde dreigingen laten detecteren, de stilstandtijd verminderen en voor tijdige incident response zorgen.
Verdere details over Sofacy-activiteit in 2018 en technische informatie over de evolutie van hun tools zijn te vinden op
Securelist.