Русскоязычная кибергруппировка Fancy Bear совершенствует инструменты

[Ippolitovich]

Русскоязычная кибергруппировка Fancy Bear продолжает активную деятельность, о чём свидетельствуют данные, собранные специалистами компании ESET.

 

Команда Fancy Bear также известна под именами Sofacy, Sednit, STRONTIUM и APT28. Она действует как минимум с 2004 года. Этим злоумышленникам приписывают атаки на Национальный комитет Демократической партии США, парламент Германии и французский телеканал TV5 Monde, а также взлом базы данных допингового агентства WADA.

Группировка проводит атаки с использованием сложных инструментов. Некоторые из них обладают свойством взаимозаменяемости: это означает, что компьютер жертвы заражается несколькими вредоносными программами, одна из которых может восстановить остальные в случае их блокировки или удаления средствами защиты.

Fancy Bear используют в атаках фишинговые письма с вредоносными вложениями или ссылками, перенаправляющими пользователей на сайт с набором эксплойтов. Идентифицировав интересную цель, группа развёртывает на скомпрометированном устройстве набор программ для шпионажа, обеспечивающих долгосрочный доступ к данным жертвы.

 

Один из инструментов Fancy Bear — качественно спроектированный бэкдор Xagent с модульной архитектурой. Он совместим со всеми распространёнными программными платформами, включая Windows, macOS, Linux и Android.

В уходящем году специалисты ESET обнаружили новую версию Xagent для Windows. Вредоносная программа использует новые методы обфускации данных и алгоритм генерации доменов (DGA), что усложняет работу специалистов по безопасности. Развитие данного вредоносного инструмента свидетельствует о том, что группа готовит новые атаки на государственные учреждения по всему миру. Специалисты полагают, что Fancy Bear снова громко заявит о себе в 2018 году.