Οι ερευνητές της ESET ανακοίνωσαν ότι προχώρησαν στην κλιμακωτή έκδοση μίας εκτεταμένης ερευνητικής εργασίας 3 τμημάτων με τίτλο «En-Route with Sednit». Η Sednit, μια διαβόητη ομάδα κυβερνο-εγκληματιών – επίσης γνωστή ως APT28, Fancy Bear και Sofacy, λειτουργεί από το 2004, επιδιώκοντας κυρίως την κλοπή εμπιστευτικών πληροφοριών από συγκεκριμένους στόχους.
- Το 1ο Μέρος: «En Route with Sednit: Approaching the Target» επικεντρώνεται στους στόχους των εκστρατειών phishing, τις μεθόδους επίθεσης που χρησιμοποιούνται και το πρώτο στάδιο malware που ονομάζεται SEDUPLOADER, και που αποτελείται από ένα dropper και το σχετικό φορτίο του.
- Το 2ο Μέρος: «En Route with Sednit: Observing the Comings and Goings» καλύπτει τις δραστηριότητες της Sednit από το 2014 και μελετά την εργαλειοθήκη κατασκοπείας που χρησιμοποιείται για τη μακροπρόθεσμη παρακολούθηση των παραβιασμένων υπολογιστών μέσω των δύο backdoors (SEDRECO και XAGENT), καθώς και το εργαλείο δικτύου XTUNNEL.
- Το 3ο Μέρος: «En Route with Sednit: A Mysterious Downloader» περιγράφει το λογισμικό first stage που ονομάζεται DOWNDELPH, το οποίο, σύμφωνα με τα στοιχεία της τηλεμετρίας της ESET έχει χρησιμοποιηθεί μόνο επτά φορές. Αξίζει να σημειωθεί ότι σε ορισμένες από αυτές τις χρήσεις εφαρμόστηκαν προηγμένες μέθοδοι παραμονής: Windows bootkit και Windows rootkit.
«Το διαρκές ενδιαφέρον της ESET για αυτές τις κακόβουλες δραστηριότητες προέκυψε από την ανίχνευση ενός εντυπωσιακού αριθμού προσαρμοσμένου λογισμικού που είχε αναπτύξει η ομάδα Sednit τα τελευταία δύο χρόνια», είπε ο Alexis Dorais-Joncas, επικεφαλής της ομάδας ESET Security Intelligence, που είναι υπεύθυνη για τη διερεύνηση του μυστηρίου που κρύβεται πίσω από την ομάδα Sednit. «Τα όπλα της ομάδας Sednit είναι σε συνεχή ανάπτυξη. Η ομάδα χρησιμοποιεί ολοκαίνουργιο λογισμικό και τεχνικές σε τακτική βάση, ενώ η ναυαρχίδα του κακόβουλου λογισμικού τους έχει εξελιχθεί σημαντικά τα τελευταία χρόνια.»
Σύμφωνα με τους ερευνητές της ESET, τα δεδομένα που συλλέγονται από τις εκστρατείες phishing της ομάδας Sednit δείχνουν ότι πάνω από 1.000 άτομα υψηλού προφίλ που εμπλέκονται στην πολιτική της Ανατολικής Ευρώπης δέχθηκαν επίθεση. «Επιπλέον, η ομάδα Sednit, σε αντίθεση με οποιαδήποτε άλλη ομάδα κατασκοπείας, ανέπτυξε το δικό της exploit kit και ανέπτυξε ένα εκπληκτικά υψηλό αριθμό 0-day exploits», κατέληξε o Dorais-Joncas.
Κατά τα τελευταία χρόνια, οι δραστηριότητες υψηλού προφίλ της ομάδας έχουν προσελκύσει το ενδιαφέρον πολλών ερευνητών στον τομέα αυτό. Κατά συνέπεια, η προβλεπόμενη συνεισφορά του συγκεκριμένου εγγράφου είναι να προσφέρει μια ευανάγνωστη τεχνική περιγραφή, με αυστηρά ομαδοποιημένους δείκτες IOC (Indicators of Compromise), άμεσα διαθέσιμη τόσο σε ερευνητές όσο και σε όσους είναι επιφορτισμένοι με την ανάλυση των ανιχνεύσεων της ομάδας Sednit.
