shutterstock_453022225-623x410

O Sednit é um dos grupos mais famosos de atacantes cibernéticos que opera hoje em dia. Embora esteja ativo antes mesmo de 2004, nos últimos dois anos, infelizmente, o grupo tem intensificado suas atividades com o propósito de acatar a seus alvos com muito mais força e de forma cada vez mais eficaz.

Sempre atualizada sobre as atividades maliciosas que ocorrem no mundo tecnológico, a ESET, líder mundial em segurança informática, tem seguido os passos do Sednit durante os últimos anos, uma tarefa que tem demonstrado ser de alto conteúdo informativo. As investigações deram lugar a uma trilogia de papers, onde são detalhados muitos aspectos característicos do grupo.

O post de hoje oferece um panorama dos resultados obtidos pela ESET, que servirá como ponto de partida para quem deseja conhecer as atividades do Sednit de forma resumida. No entanto, recomendamos ler os três documentos, disponíveis em inglês, já que explicam as operações do grupo com um nível de detalhamento fascinante:

Parte 1: Aproximando-se do objetivo

Os principais objetivos de ataque do Sednit nos revelam as motivações do grupo e sua grande sofisticação. Observe:

  • Abril de 2015: TV5Monde, uma rede de televisão francesa
  • Maio de 2015: o Parlamento alemão
  • Março de 2016: o Comitê Nacional Democrata Estadunidense

Assim podemos concluir duas coisas. A primeira, que o grupo Sednit está mais que confiante em suas capacidades, já que ataca alvos de alto perfil. E a segunda, que suas atividades estão conectadas com a geopolítica internacional.

A ESET conseguiu encontrar uma lista de objetivos por trás da descoberta de uma falha em uma das campanhas de phishing direcionado do grupo. Sednit utiliza Bitly para encurtar os endereços URL utilizados em seus email eletrônicos de phishing direcionado. No entanto, esqueceram de configurar uma de suas contas, que se tornou pública por um erro, sendo possível ver todas as URLs que haviam sido encurtadas.

A lista incluía indivíduos e organizações com endereços do Gmail, entre os que se encontravam: embaixadas pertencentes a Argélia, Colômbia, Índia, Iraque, Coréia do Norte, Coréia, do Sul, Turquia e Ucrânia; jornalistas com sede no Leste Europeu; divergentes políticos russos; e membros das instituições da OTAN.

Os investigadores da ESET sinalizaram: “A maioria dos alvos que identificamos tem algo em comum: compartilham o mesmo ponto de vista com respeito a situação política do Leste Europeu”.

Ao direcionar seus ataques para estes indivíduos e grupos, Sednit utiliza dois principais métodos para executar seu software malicioso. O primeiro é persuadir o usuário para que abra um arquivo anexo ao email. O segundo é direcionar o usuário para um site web que contenha um exploit kit personalizado (que aproveita as falhas dos sistemas ou dispositivos). A maioria dos ataques ocorrem por meio de um email de phishing direcionado.

O que é particularmente interessante sobre o Sednit é sua capacidade de identificar vulnerabilidades 0-day. Por exemplo, apenas em 2015, o grupo foi capaz de aproveitar seis destas novas vulnerabilidades, demostrando seu alto nível de perspicácia e habilidade.

A ESET concluiu: “Em geral, o grupo Sednit busca constantemente novas maneiras de chegar aos seus alvos, seja por meio de estratégias oportunistas ou desenvolvendo seus próprias métodos originais”.

Parte 2: Observando as idas e vindas

Após fazer o reconhecimento de seus potenciais alvos (utilizando o malware Seduploader ou Downdelph, por exemplo), o grupo consegue instalar seu kit de ferramentas de espionagem, que permite monitorar à longo prazo os dispositivos infectados.

Em geral, isso é possível por meio de dois backdoors de espionagem, Sedreco e Xagent, e depois, através da ferramenta de rede Xtunnel. Sem lugar para dúvidas, esses três aplicativos maliciosos são fundamentais para entender e detectar grande parte das atividades do Sednit.

Com relação a Xagent, que tem versões para Windows, Linux e iOS, os investigadores explicaram: “É um backdoor muito bem projetado que tem se convertido no principal malware de espionagem do Sednit nos últimos anos. A capacidade de comunicar-se através do HTTP ou por email o converteu em uma ferramenta versátil para os operadores”.

Sobre o Sedreco, um malware flexível composto por um dropper e um payload persistente, foi possível descobrir que é um backdoor bastante útil. Utilizado pelo Sednit durante muitos anos, e que tem a capacidade de registrar novos comandos de forma dinâmica, sendo capaz de “carregar complementos externos”.

Finalmente, com relação ao Xtunnel, que modifica um dispositivo infectado e o transforma efetivamente em uma porta de entrada para a rede, a investigação concluiu: “Acreditamos que é de grande importância para os operadores do Sednit”.

Parte 3: Um downloader misterioso

Indicativo de sua importância, o documento final sobre Sednit está dedicado a Downdelph, um malware empregado na primeira etapa dos ataques que, apesar do uso limitado que os operadores lhe dão, oferece uma visão surpreendente da forma na qual o grupo se aproxima de certos alvos.

De acordo com os dados telemétricos da ESET, o malware foi desenvolvido apenas sete vezes. No entanto (e aqui é onde se torna interessante), o Downdelph se combinou com um bootkit e um rootkit, também conhecidos como métodos de persistência avançados. Por mais que pareça um enfoque peculiar, demonstrou ser extremamente exitoso ao permitir ao Sednit operar sem ser identificado.

O Downdelph, chamado assim pelo fato de estar escrito na linguagem de programação Delphi, funciona da seguinte maneira: descarrega um arquivo de configuração principal, amplia a lista de servidores do C&C e, em seguida, descarrega um payload.

A ESET concluiu: “Como os operadores do Sednit utilizaram o Downdelph em poucas ocasiões, conseguiram distanciar-se dos investigadores de malware durante quase dois anos, o que, ao combinar-se com os métodos de persistência avançados, tornou possível que pudessem manter o monitoramento dos alvos selecionados por um longo período de tempo”.

Leia os detalhes desta investigação para conhecer mais sobre as atividades deste grupo de espionagem.