Grupa Sednit, odpowiedzialna za ataki hakerskie ukierunkowane na konkretne kraje Europy Wschodniej i Azji, ponownie zaatakowała. Tym razem celem grupy stali się pracownicy ambasad, ministerstw spraw zagranicznych i placówek dyplomatycznych aż 18 krajów, m.in. z Rosji, Egiptu, Korei, Turcji, czy Urugwaju. Jak wskazują eksperci z ESET, to kolejny już atak wspomnianych hakerów. Ta sama grupa w przeszłości zaatakowała m.in. polską instytucję finansową.
Grupa Sednit, znana również jako APT28, Fancy Bear, Sofacy lub STRONTIUM, swoją działalność rozpoczęła 10 lat temu. Hakerzy, podczas przeprowadzanych ataków targetowanych korzystają z kilku zaawansowanych rodzajów złośliwego oprogramowania, instalowanych w systemie najczęściej poprzez wykorzystanie luk w programie Microsoft Word. Badacze cyberbezpieczeństwa z ESET opisali nowy zestaw zagrożeń grupy Sednit - Zebrocy, który do tej pory zaatakował komputery dyplomatów z Azerbejdżanu, Bośni i Hercegowiny, Egiptu, Gruzji, Iranu, Kazachstanu, Korei, Kirgistanu, Rosji, Arabii Saudyjskiej, Serbii, Szwajcarii, Tadżykistanu, Turcji, Turkmenistanu, Ukrainy, Urugwaju i Zimbabwe.
Zebrocy – nowe zagrożenie od grupy Sednit
Jak tłumaczy Kamil Sadkowski, analityk zagrożeń ESET, rodzina szkodliwego oprogramowania o nazwie Zebrocy aktywuje się w momencie otworzenia załącznika z wiadomości e-mail - dokumentu Microsoft Office lub pliku spakowanego do archiwum. Zebrocy składa się z trzech komponentów. Pierwszy z modułów, zaraz po uruchomieniu, odpowiada za zebranie informacji o systemie operacyjnym ofiary. Następnie przesyła je do serwera cyberprzestępców, który opóźnia swoją odpowiedź do kilku godzin, zanim wirus dopuści do kolejnej fazy infekcji. Drugi moduł sprawdza między innymi, czy został uruchomiony w środowisku wirtualnym. Jeśli tak, kończy swoje działanie. Jeśli nie, sprawdza listę uruchomionych programów, wersję systemu operacyjnego, robi zrzuty ekranu oraz pobiera z sieci kolejny złośliwy kod. Ten ostatni komponent jest odpowiedzialny za wykonanie rozkazów cyberprzestępców oraz za przeprowadzenie finalnej infekcji gromadzącej maksymalną ilość informacji o ofiarach ataku.
Grupa Sednit w przeszłości zaatakowała również Polskę
Jak wskazuje Kamil Sadkowski, grupa Sednit w przeszłości atakowała wielokrotnie kraje Europy Wschodniej, w tym również Polskę, o czym jako pierwsi poinformowali badacze bezpieczeństwa z ESET. W 2014 roku hakerzy przeprowadzili atak, wykorzystując do jego realizacji stronę internetową polskiej instytucji finansowej. Do kodu źródłowego tej strony został wówczas wstrzyknięty specjalny kod, który powodował przekierowanie do złośliwej witryny. Następnie zagrożenie próbowało wykorzystać lukę CVE-2014-1776 w przeglądarce internetowej Internet Explorer, by zainfekować dany komputer. Co ciekawe, miesiąc po tym ataku, grupa obrała za cel maszyny znajdujące się w fizycznie odizolowanych od Internetu sieciach, tzw. ,,air-gapped networks”. Zagrożenie było wymierzone w pojedyncze komputery w sieciach komputerów nie podłączonych do Internetu. Jego celem było uzyskanie dostępu do określonych plików przy użyciu nośnika wymiennego, np. pendrive’a czy dysku przenośnego. Z kolei trzy lata później grupa ponownie zaatakowała, rozsyłając falę wiadomości mailowych do pracowników ministerstwa spraw zagranicznych jednego z europejskich państw. Wiadomości zawierały złośliwy dokument o nazwie „Trump's_Attack_on_Syria_English.docx”, który w odniesieniu do ówczesnej sytuacji politycznej, zachęcał swoją nazwą do otwarcia pliku.
Jak wskazują eksperci z ESET, zagrożenia dystrybuowane przez grupę Sednit są nadal aktywne. Aby zabezpieczyć się przed tego typu atakami, należy aktualizować oprogramowanie w celu załatania podatności, zachować ostrożność podczas otwierania nieznanych załączników, a także wyposażyć swój komputer w oprogramowanie antywirusowe, które chroni przed wirusami i innymi zagrożeniami komputerowymi.