ايتنا - ظهور تهدیدات Sofacy APT در کشورهای خاورمیانه

وظیفه ما در لابراتوار کسپرسکی نظارت، بررسی و محافظت در برابر بسیاری از هکرها به ویژه برخی از آنها که در سطح بین‌المللی شناخته شده اند و گاهی اوقات احوال آنها را در اخبار می‌شنویم، می‌باشد. مهم نیست که این مجرمان از چه زبانی برای تهدیدهای خود استفاده می‌کنند، مهم این است که ما الگوریتم حمله آنها را می‌دانیم، آنها را بررسی و مشتریان خود را مقابل آنها محافظت می کنیم.

به گزارش ایتنا از کسپرسکی آنلاین، یکی از فعال‌ترین تهدیداتی که تا به حال به خوبی شناخته شده است APT نامیده می شود که پشت آن گروهی روسی به نام Sofacy پنهان شده اند. این گروه با نام‌ها APT28، Fancy Bear، Tsar Team نیز شناخته شده‌اند که از کمپین های فیشینگ و فعالیت‌های سایبری حمایت می کنند. در سال 2017 این گروه روند حملات خود را عوض کرد و تغییراتی در عملکرد خود ایجاد نمود.

ما سال 2011 شاهد عملکرد مخربانه Sofacy بودیم و با ابزار و تاکتیک‌های که مجرمان پشت این حملات استفاده می کنند آشنایی داریم. سال گذشته این گروه مشهور به فراتر از کشورهای NATO منتقل شد. در ابتدای سال 2017 در قالب حملات فیشینگ در کشورهای خاورمیانه و دورتر ظاهر شدند.

پیش از این Sofacy توانسته است بازی‌های المپیک، آژانس جهانی، WADA و دادگاه‌های داوری CAS را مورد هدف حملات مخرب خود قرار بدهد.
Sofacy از ابزارهای مختلف برای مورد هدف قرار دادن پروفایل های مختلف استفاده می کند. به عنوان مثال در اوایل سال 2017 کمپینی به نام Dealer’s به طور عمده سازمان های نظامی و دیپلمات (درکشورهای عضو ناتو و اوکراین) را مورد هدف قرار داد. پس از آن هکرها با استفاده از دو ابزار دیگر که Zebrocy و SPLM نامیده شدند، توانستند پروفایل‌های مختلف از جمله مراکز علمی، مهندسی و خدمات مطبوعاتی را مورد هدف قرار بدهند. هر دو ابزار مخرب Zebrocy و SPLM در سال گذشته اصلاح شدند اما چندی بعد با ابزار مخرب دیگری به نام SPLM برای استفاده از ارتباطات رمزنگاری شده تلفیق شدند.

طرح آلودگی این حمله‌های پیشرفته با باز کردن یک فایل فیشنگ که حاوی یک اسکریپت مخرب و قابل دریافت بود آغاز می شد. Sofacy با یافتن آسیب پذیری‌ها و اکسپلویت از آسیب پذیری های روز صفر برای تحویل پیلودها تلاش می‌کرد. این تهدید در سطح بالایی از امنیت ایجاد شده بود و شناسایی آنها توسط نرم‌افزارهای امنیتی قوی نیز کاری سخت بود. که این موضوع بررسی‌های ما را دشوار می ساخت. برای شناسایی این حملات لایه های امنیتی و قدرتمندی نیاز است که بتوان تهدیدات را در همان لبه شبکه تشخیص و قورا آن را مسدود ساخت.

برای انجام این کار سیستم امنیتی شما به به یک راهکار امنیتی پیشرفته جهات شناسایی و سپس حذف مورد مشکوک نیاز دارد. چنین سیستم هایی تهدیدات را در مراحل اول حمله تشخیص و به تجزیه و تحلیل وقایع پیش از رخ دادن حادثه کمک می‌کنند.
در این مواقع هیچ اسیبی به سیستم وارد نخواهد شد و رخنه ای از حمله به سیستم رخ نخواهد داد. به عنوان یک راهکار امنیتی ما صاحب پلتفرمی هستیم که در مقابل تهدیدات دفاع کامل را انجام میدهند و این سیستم‌های امنیتی شامل اقدامات امنیتی هستند که می توانند مقابل انواع حملات همانند محافظی قوی عمل کنند. Kaspersky Endpoint Detection and Response وظیفه این محافظت قوی را بر عهده داد.