Sednit új eszközei
Az ESET jelentése szerint az orosz állami hátterű Sednit (APT28, Fancy Bear, Sofacy) kiberkémkedési csoport újra megjelent egy fejlettebb malware-eszközkészlettel, miután több éven keresztül viszonylag egyszerű implantátumokat használt műveleteiben. A kutatók szerint a csoport ismét saját fejlesztésű kártevőkkel dolgozik, ami a kampányok technikai szintjének növekedésére utal. A most azonosított aktivitás elsősorban ukrán célpontok, különösen kiber- és katonai infrastruktúrák ellen irányul.
A támadásban egy SlimAgent nevű keylogger is szerepelt, amelynek kódja a Sednit több mint egy évtizede használt malware-komponenseiből származik. Ez arra utal, hogy a csoport régi fejlesztéseket is újrahasznosít, miközben új eszközöket integrál a támadási láncba.
Az új eszközkészlet egyik kulcseleme a BeardShell nevű implantátum. Ez a malware PowerShell parancsok távoli végrehajtását teszi lehetővé a kompromittált rendszereken, miközben a parancs- és vezérlési kommunikációhoz a legitim Icedrive felhőszolgáltatást használja. A felhőszolgáltatáson keresztüli C2-kommunikáció jelentősen megnehezíti a hálózati forgalom alapú detektálást, mivel a kommunikáció legitim felhőforgalomnak tűnhet.
A másik fontos komponens a Covenant implantátum módosított változata. Ez egy erősen átalakított nyílt forráskódú eszköz, amely kiterjedt műveleti képességeket biztosít a támadóknak, például adatgyűjtést, laterális mozgást, rendszermonitorozást és adatexfiltrációt. A kutatók szerint a Covenant vált a Sednit fő kiberkémkedési eszközévé, míg a BeardShell inkább tartalék vagy alternatív hozzáférési mechanizmusként működik abban az esetben, ha az első implantátumot a védelmi rendszerek észlelik.
A támadási architektúra egyik érdekes sajátossága, hogy a csoport párhuzamosan több implantátumot telepít, amelyek különböző infrastruktúrát és szolgáltatókat használnak a kommunikációhoz. Ez növeli a műveletek ellenálló képességét, mivel egyetlen infrastruktúra lekapcsolása nem feltétlenül szakítja meg a támadók hozzáférését a kompromittált hálózathoz.
A Sednit az egyik legismertebb orosz kiberkémkedési csoport, amelyet számos nyugati hatóság az orosz katonai hírszerzéshez, a GRU-hoz köt. A csoport több mint két évtizede aktív és számos nagy horderejű művelethez kapcsolják, például a 2016-os amerikai Demokrata Nemzeti Bizottság (DNC) elleni hackhez, a német Bundestag 2015-ös kompromittálásához, valamint több nemzetközi szervezet elleni kémkedési kampányhoz.
