APT28 Campaña de Ciberespionaje

APT28 es el nombre del grupo que lleva desde 2007 realizando diversos ataques a entidades como gobiernos, ejércitos y organizaciones de seguridad según un informe de la compañía Fireeye. El grupo APT28 estaba interesado en obtener información privilegiada relacionada con los gobiernos, los ejércitos y las organizaciones de seguridad de las que probablemente se beneficiaría el gobierno ruso.

Georgia

El grupo probablemente estaba interesado en obtener inteligencia sobre la seguridad y política de Georgia tratando de espiar a los trabajadores del Ministerio del Interior y del Ministerio de defensa.
Europa del Este

APT28 también estaría interesado según el informe en obtener información sobre gobiernos y organizaciones de seguridad de Europa del Este. Esta información daría ventaja a Rusia en la toma de decisiones y el impacto que estas podrían tener
Organizaciones de seguridad

Además de espiar países como Georgia y gobiernos de Europa del Este, APT28 también tuvo como objetivos entidades como la OTAN o OSCE (Organización para la Seguridad y la Cooperación en Europa), los ataques aumentaron en épocas de mas tensión en Europa.

Objetivos según el informe de FireEye

De las piezas de malware que se encontraron con la campaña investigada por FireEye, se podía ver como las muestras estaban preparadas para detectar el entorno donde se estaban ejecutando, strings cifradas, instrucciones no utilizadas por el malware, controles de tiempos de ejecución etc.. Todo esto para complicar el análisis por parte de los investigadores.

En el ataque realizado se pudo ver como APT28 actualizó las muestras utilizadas. En la parte de ex-filtración de información los atacantes usaron el servidor de correo de la víctima, aprovechando su infraestructura.
Otros datos interesantes del informe sobre las muestras utilizadas es que, analizando los samples se puede extraer que las muestras estaban siendo desarrolladas en un entorno de desarrollo con lenguaje Ruso. Además el 96% de ellas en un horario comprendido entre Lunes y Viernes durante una jornada de 8 a.m.-6 p.m., huso horario de trabajo en la zona de Moscú.

Como en otros ataques que hemos podido ver antes, APT28 utilizó ataques basados en SpearPhishing utilizando temáticas en los correos de interés para el gobierno ruso. Estos ataques de Spear Phishing se realizan usando temáticas de interés para que parezcan correos legítimos. Además de usar este tipo ataques APT28, registró dominios de temáticas de interés para los recibirían dichos ataques.

Un ejemplo claro del interés de los ataques era los objetivos de alguno de los ataques, miembros del Cáucaso región natural situada entre Europa del Este (en el ataque se centraron particularmente la zona de Georgia) y Asia occidental.

Mapa mostrado por el informe

Ministerio del Interior de Georgia

Uno de los objetivos por parte de APT28 era el Ministerio del Interior, responsable de:

  • Vigilancia, seguridad interna, y las patrullas fronterizas 
  • Contra-inteligencia 
  • Lucha contra el Terrorismo 
  • Relaciones internacionales 
  • Defensa de las instalaciones y los activos estratégicos de Georgia 
  • Tareas "Operativo-técnicas" 

Para que nos hagamos una idea de como funcionan los ataques en esta escala, en uno de ellos se preparó un documento de Escel, que explotaba una vulnerabilidad. Este Excel, contenía información sobre licencias de conducir.

Análisis de los dominios usados en las campañas de ataque

Leyendo el informe de FireEye, también podemos ver los dominios usados por APT28 en el ataque.


kavkazcentr.info

Analizando el dominio, podemos ver los siguientes datos interesantes

Fechas e IP's

2013 - 54.255.143.112
2014 - 79.174.73.100

Si revisamos la IP  54.255.143.112, podemos ver en el tiempo los dominios que han usado dicha IP

Dominios usados por la IP  54.255.143.112
Estos datos son obtenidos gracias a servicios pDNS. He encontrado algunas muestran relacionadas con esta IP:

beab79184bf1fca1f52ff3761f8a533827106fef3749c6c9c9a3e7eec619a226
Tasa de detección 0/54 por Virus Total en la fecha 2014-10-20 16:11:19

2bd901a246f0b0b90ba891ee37c2ee4f7bd30d36d307b151998769fcc23fd1cb
Tasa de detección 17/55 por Virus Total en la fecha 2014-10-08 09:45:49

Si revisamos el dominio de kavkazcentr.info, podemos ver que ha tenido bastante actividad también:

Datos pDNS
rnil.am

Otro de los dominios usados en el ataque también posee datos interesantes, si miramos datos sobre la IP del dominio 46.183.217.194.



Se ha podido ver actividad maliciosa en este mismo año...

Estos son algunos de los datos del informe de FireEye, me he leído el informe y es muy interesante.

El informe lo podéis descargar del siguiente enlace:

[+] http://www.fireeye.com/resources/pdfs/apt28.pdf


1 comentarios:

  1. Informative article. Really you are discussing some important points in here. This blog is help to advanced learning to the people. I really appreciate you for sharing this valuable content. By the way we have writing services company, here is our social group edu bird You may follow our group for any kind of writing solution in future. Our writer is just incredibly talented. Thanks.

Publicar un comentario