Wir bei Kaspersky Lab haben es uns zum Ziel gesetzt, jegliche Arten von Bedrohungsakteuren, von denen einige auch international bekannt sind, zu verfolgen, zu melden und Schutz vor ihnen zu bieten. Für uns spielt es keine Rolle, welche Sprache ein Bedrohungsakteur spricht; unsere Pflicht ist es mehr über ihn zu erfahren, ihn zu untersuchen und unsere Kunden vor ihm zu schützen.
Einer der aktivsten Bedrohungsakteure ist Sofacy; ein russischsprachiger APT der insbesondere für seine Spear-Phishing-Kampagnen und Cyberspionage-Aktivitäten berüchtigt ist und ebenfalls unter den Namen APT28, Fancy Bear und Zar Team bekannt ist. 2017 änderte Sofacy seine Vorgehensweise, die einer Erwähnung in diesem Beitrag wert ist.
Seit 2011 steht Sofacy bereits unter unserer Beobachtung; daher sind wir sehr vertraut mit den Mitteln, Methoden und Taktiken, die der Bedrohungsakteur nutzt. Die wichtigste Veränderung im vergangenen Jahr war, dass Sofacy im zweiten Quartal 2017 über die NATO-Länder hinaus (in denen der APT zu Beginn des Jahres aktiv Spear Phishing betrieb) auch im Nahen Osten und Asien sein Unwesen trieb. Zuvor hatte Sofacy es zudem auf die Olympischen Spiele, die Welt-Anti-Doping-Agentur (WADA) und den Internationalen Sportgerichtshof (CAS) abgesehen.
APT #Sofacy nun auch im Nahen Osten und Asien präsent.
Tweet
Sofacy verwendet verschiedene Tools für verschiedene Zielprofile. Eine Kampagne namens Dealer’s Choice Anfang 2017 richtete sich beispielsweise hauptsächlich an militärische und diplomatische Organisationen (hauptsächlich in NATO-Ländern und der Ukraine); später setzten die Hacker zudem zwei andere Tools ein, die wir Zebrocy und SPLM nennen, um Unternehmen unterschiedlicher Profile, darunter auch wissenschaftliche und technische Zentren sowie Pressedienste anzupeilen. Sowohl Zebrocy als auch SPLM wurden letztes Jahr stark modifiziert.
Das übliche Infektionsschema beginnt mit einer Spear-Phishing-Mail, die eine Datei mit einem Skript enthält, das die Nutzdaten herunterlädt. Sofacy ist dafür bekannt, Zero-Day-Schwachstellen zu finden, auszunutzen und diese Exploits für die Übermittlung der Nutzdaten zu verwenden. Der Bedrohungsakteur behält ein hohes Maß an operativer Sicherheit bei und konzentriert sich darauf, die Malware schwer erkenntlich zu machen – das wiederum erschwert die Untersuchung.
Im Falle von hoch entwickelten zielgerichteten Kampagnen wie Sofacy ist eine gründliche Untersuchung des Vorfalls unerlässlich. So kann herausgefunden werden, auf welche Informationen Kriminelle es abgesehen haben und welche Motive hinter der Attacke stecken.
Weitere Informationen zu den Aktivitäten des Bedrohungsakteurs im Jahr 2017, einschließlich technischer Details, finden Sie auf Securelist. Anfang 2018 haben unsere Forscher zudem einige interessante Veränderungen im Verhalten von Sofacy feststellen können, die wir auf dem SAS 2018 (Security Analyst Summit) vorstellen werden; wenn Sie selbst nicht an unserem Gipfel teilnehmen können, vergessen Sie nicht regelmäßig auf unserem Daily Blog vorbeizuschauen.