Группировка APT28 обзавелась новым другом
Обнаружена связь между APT28 и другой кибершпионской группировкой.
Исследователи из Symantec обнаружили связь между APT28 и другой хакерской группировкой, осуществляющей кибератаки на военные организации в Европе и Азии. APT28, также известная как Fancy Bear, Sednit, STRONTIUM и Sofacy, зачастую связывается ИБ-экспертами с правительством РФ. Группировка активна как минимум с 2004 года и предположительно ответственна за взлом политических организаций, имеющих отношение к выборам президента США в 2016 году. Ей также приписываются атаки на Всемирное антидопинговое агентство (WADA) и украинских военных. APT28 имеет в своем распоряжении множество высокотехнологичных инструментов для взлома (трояны, бэкдоры и системы для сбора информации), как правило, играющие роль «двойных агентов».
Earworm (альтернативное название Zebrocy) существует чуть более двух лет. Группировка специализируется преимущественно на тайном сборе информации, принадлежащей организациям в Европе и Азии, с помощью целенаправленного фишинга. По данным ESET, Earworm атакует посольства, министерства иностранных дел и дипломатов в России, Саудовской Аравии, Швейцарии, Сербии, Украине и Иране.
Группировка использует только два инструмента. Первый – Trojan.Zekapab, загрузчик с базовыми функциями для сбора информации. Второй – Backdoor.Zekapab, модуль для похищения файлов, загрузки и выполнения дополнительных модулей, модифицирования реестра и получения снимков экрана.
Название Zebrocy было изначально присвоено семейству вредоносного ПО из арсенала APT28. Тем не менее, оно может принадлежать другой группировке или просто использоваться ими обеими. По мнению исследователей Symantec, несмотря на различия между Earworm и APT28, они преследуют общие цели и могут обмениваться ресурсами.
По данным исследователей, в 2016 году обе группировки использовали один и тот же C&C-сервер, и их операции пересекались. Тем не менее, Earworm и APT28 – две разные группировки и осуществляют разные атаки.
Учитывая, что Россия есть в списке атакуемых целей Earworm, вряд ли группировка имеет отношение к российским спецслужбам. Скорее всего, продавая свои инструменты другим киберпреступникам, APT28 нашла дополнительный источник заработка.