Grupo de ciberespionagem Fancy Bear continua operacional em 2017

Próximo artigo

Um ano depois de termos apresentado o mais completo whitepaper sobre as atividades deste grupo, os investigadores da ESET descobriram uma nova versão do principal malware do Fancy Bear, o Xagent, provando que o grupo continua muito ativo em 2017, e continuará assim em 2018.

A ESET, um líder global em segurança informática, tem-se comprometido a monitorizar o Fancy Bear (também conhecido por Sednit ou APT28) – um dos mais notórios grupos de ciberespionagem do mundo.

Monitorização focada

Ao longo da monitorização da atividade do grupo, a ESET confirmou que o principal objetivo do Fancy Bear é roubar informação confidencial de alvos específicos de alto perfil. Os alegados alvos durante os últimos anos incluem a rede televisiva francesa TV5Monde em abril de 2015, o parlamento alemão um mês depois e o Comité Nacional Democrático (DNC) americano em março de 2016.

Ao visar certos indivíduos ou grupos, o Fancy Bear usa dois principais métodos de ataque para transmitir o seu software malicioso – tipicamente persuadindo alguém a abrir um anexo de email ou redirecionando um indivíduo para um website que contém um exploit kit personalizado como resultado de um email de phishing.

Quando o grupo identifica um alvo interessante, ativa o seu kit de espionagem, monitorizando dispositivos comprometidos a longo prazo. O Xagent é uma das duas backdoors transmitidas através deste método e usadas para espionagem.

“O Xagent é uma backdoor extremamente bem desenvolvida e, ao longo dos últimos anos, tornou-se no principal malware de espionagem da Sednit,” disse Alexis Dorais-Joncas, Líder da Equipa de Segurança na ESET. “Com a sua capacidade de comunicar através de HTTP ou email, temos observado esta backdoor modular a ser usada extensivamente nas operações do grupo.”

Uma ameaça em constante evolução

Em 2017, a ESET descobriu uma nova versão do Xagent para Windows. Como a ESET revela, a versão 4 do Xagent inclui novas técnicas de ofuscação que melhoram significativamente a maneira como as cadeias de caracteres são encriptadas.

“As técnicas acrescentadas à backdoor – encriptação e Algoritmo de Geração de Domínio (DGA) – dificultam a nossa vida,” continuou Dorais-Joncas. “A primeira torna a inversão mais difícil, enquanto a segunda dificulta a aquisição de domínios uma vez que há mais domínios para adquirir ou apreender.”

A adição de novas funcionalidades e compatibilidade com as maiores plataformas – Windows, Linux, Android e iOS – fazem do Xagent a principal backdoor usada pelo Fancy Bear atualmente.

“É claro que o grupo Fancy Bear continua muito ativo; evoluindo continuamente e crescendo em sofisticação,” concluiu Dorais-Joncas. “Esta nova versão do Xagent é incrivelmente interessante e complexa. Podemos agora colocar a hipótese da Sednitter adicionado outra camada para verificar os seus alvos com apenas alguns módulos do Xagent, e se a vítima for interessante o suficiente, então o grupo pode ativar outra versão com todos os módulos. Isto demonstra o quanto determinado está o grupo nos seus esforços para visar continuamente organizações e instituições de alto nível em todo o mundo.”

Mais informações: https://www.welivesecurity.com/2017/12/21/sednit-update-fancy-bear-spent-year/