La APT Sofacy se dirige al Este

Kaspersky Lab publica una actualización sobre la actividad de la APT de habla rusa Sofacy en 2017.

En Kaspersky Lab monitorizamos, informamos y protegemos contra muchos grupos de amenazas, algunos llegan a ser conocidos en el panorama internacional y protagonizan artículos de prensa. No importa qué idioma hablen, nuestro deber es conocerlos, investigarlos y proteger a nuestros clientes.

La APT rusa Sofacy es uno de los grupos de amenazas más activo, también llamado APT28, Fancy Bear y Tsar Team, conocido por sus campañas de spear phishing y sus actividades de ciberespionaje. En esta publicación te contamos cómo consiguió cambiar el rumbo para mantenerse a flote.

Llevamos estudiando Sofacy desde 2011, por lo que sus instrumentos y estrategias resultan muy familiares. El año pasado, Sofacy dio un giro importante al ir más allá de los países de la OTAN, trabajó de forma más activa con el spear phishing a principios de año y empezó a extenderse hacia los países de Oriente Medio y Asia en el segundo trimestre del 2017. Antes, Sofacy fijó su objetivo en los Juegos Olímpicos, la Agencia Mundial Antidopaje y el Tribunal de Arbitraje Deportivo.

Sofacy adapta su estrategia dependiendo del perfil contra el que quieran actuar. Por ejemplo, a principios de 2017 con una campaña llamada Dealer’s Choice se centró en organizaciones militares y diplomáticas (sobre todo en países de la OTAN y Ucrania). Después, los hackers usaron Zebrocy y SPLM para ir a por diferentes perfiles como centros científicos y de ingeniería o servicios de prensa. Ambas sufrieron muchas modificaciones, con SPLM (también conocida como Chopstick,) y se hizo modular y comenzó a usar comunicaciones cifradas.

Una estrategia de infección habitual empieza con un correo electrónico spear phishing que contiene un archivo con un script para ejecutar la descarga. Sofacy es conocido por encontrar y explotar las vulnerabilidades de día cero y usarlas para enviar la carga. El ciberdelincuente aplica un alto nivel de seguridad operativa y se centra en ocultar al máximo el malware, dificultando así su investigación.

En el caso de ataques más sofisticados como Sofacy, se requiere una investigación exhaustiva  del incidente para averiguar qué información buscaban los delincuentes, entender su objetivo y detectar la presencia de cualquier amenaza oculta.

En Securelist podrás conocer toda la actividad de los ciberdelincuentes en 2017, incluida la información técnica. A principios de año, nuestros investigadores encontraron ciertas modificaciones interesantes en el comportamiento de Sofacy en las que profundizaremos durante la conferencia SAS 2018. Si estás interesado en las APT y en cómo nos podemos defender, no te olvides de comprar una entrada o, al menos, visitar nuestros blogs con frecuencia durante la SAS.

Consejos