Kibernetinių nusikaltėlių grupė „Sednit“, dar žinoma tokiais pavadinimais, kaip „Strontium“, „APT28“, „Fancy Bear“ ar „Sofacy“, kenksmingą veiklą vykdo nuo 2004 metų, ir nepanašu, kad ruoštųsi sustoti. Saugumo sprendimų kūrėjos ESET tyrėjai nustatė naują grupuotės naudojamą kenkėją „Xagent“, įrodantį, kad programišiai buvo aktyvūs visus 2017 m.
Pagrindinis „Sednit“ tikslas – vogti konfidencialius duomenis iš konkrečių aukų, ypač nusikaltėlius masina įtakingi, aukštas pozicijas užimantys asmenys bei organizacijos. Tarp pastarųjų metų grupuotės taikinių – Prancūzijos televizijos tinklas „TV5Monde“, Vokietijos parlamentas ir Amerikos demokratijos komitetas.
Atakuodami tikslinius asmenis ar grupes „Sednit“ naudoja du būdus savo kenksmingai programinei įrangai diegti: sukčiavimo laiškuose prisega kenksmingus failus arba nukreipia į kenksmingą svetainę, kurios pagalba įrenginyje ieško saugumo spragų.
„Nors rašybos klaidos yra vienas iš „Sednit“ platinamų sukčiavimo el. laiškų požymių, neatidūs vartotojai vis tiek užkimba ant nusikaltėlių jauko – spaudžia nuorodas, net nepatikrindami, kur jos veda. Beje, programišių naudojamos nuorodos taip pat dažnai imituoja legalių svetainių adresus, tad vartotojams tenka būti dvigubai atsargesniems“, – komentuoja programinės įrangos platintojos „Baltimax“ pardavimų vadovas Deividas Pelenis.
Pasak ESET, programišiai suradę juos dominantį taikinį įdiegia savo šnipinėjimo įrankius ir ilgą laiką stebi užkrėstus kompiuterius. Šiam tikslui buvo naudojamas naujas kenkėjas „Xagent“.
„Xagent“ yra itin gerai sukurtas galinių durų kenkėjas, per pastaruosius metus tapęs pagrindiniu „Sednit“ šnipinėjimo įrankiu, plačiai naudojamu nusikaltėlių grupuotės operacijose. Kenkėjas išsiskiria savo galimybėmis bendrauti el. paštu arba per „HTTP“, – komentuoja ESET saugumo žvalgybos vadovas Alexis Dorais-Joncas.
2017 m. ESET nustatė naują „Xagent“ versiją, skirtą „Windows“. Jau ketvirtą versiją išleidę programišiai kenkėjui pridėjo šifravimo ir domeno generavimo algoritmo (DGA) galimybes. Pastarasis funkcionalumas kelia iššūkį saugumo ekspertams perimant tokius domenus – dabar yra gerokai daugiau domenų, kuriuos reikia išjungti ar sustabdyti.
Pasak saugumo tyrėjų, „Xagent“ yra suderinamas su visomis pagrindinėmis operacinėmis sistemomis – „Windows“, „Linux“, „Android“ ir „MacOS“ – tad nieko keisto, kodėl „Sednit“ jį naudoja kaip pagrindinį įrankį patekti į užkrėstus kompiuterius.
„Akivaizdu, kad „Sednit“ grupuotė yra labai aktyvi ir nuolat tobulina savo veiklą. Jei užkrėsto kompiuterio savininkas jiems pasirodo vertas dėmesio, programišiai gali atsiųsti kitą „Xagent“ versiją su visais moduliais. Tai rodo, kiek atkaklūs yra nusikaltėliai, atakuojantys norimas organizacijas ir institucijas visame pasaulyje“, – teigia A. Dorais-Joncas.
Praėjusių metų pabaigoje ESET jau publikavo ataskaitą, kurioje nagrinėta „Sednit“ veikla 2014–2016 metais. Saugumo ekspertai ir toliau nenuleidžia akių nuo vienos garsiausios programišių grupės, kuri, tikėtina, savo darbus tęs ir 2018 m.