ESET brengt digitale wapens van hackersgroep Sednit of Fancy Bear in kaart

Onderzoekers van ESET hebben de werkwijze van de beruchte hackersgroep Sednit, ook bekend als Fancy Bear, in kaart gebracht. De groep heeft zijn backdoor Zebrocy voorzien van nieuwe functies, waardoor deze breder inzetbaar is voor de doeleinden van de groep.

Zebrocy is malware waarmee een backdoor wordt gecreëerd op systemen die door de hackersgroep worden geïnfecteerd. De malware werd in 2018 bijvoorbeeld gebruikt tijdens een spear-phishingcampagne van Sednit om via social engineering en verkorte URLs, Zebrocy-componenten te distribueren.

Zodra de malware zich op een systeem nestelt stuurt het basisinformatie over het gecomprommiteerde systeem naar de aanvallers. De aanvallers nemen vervolgens de controle over de backdoor en kunnen commando's sturen naar het geïnfecteerde systeem. Dit maakt het onder meer mogelijk data van slachtoffers te stelen.

Moeilijk te achterhalen

De backdoor kan hierdoor na infectie al binnen enkele minuten door de aanvallers worden misbruikt. ESET stelt dan ook de aanvallers weinig tijdig nodig hebben om met behulp van de backdoor hun werk te doen. Zodra de aanval is afgerond, wordt de malware weer verwijderd. Dit maakt Zebrocy in de praktijk lastig de backdoor te detecteren.

Het is onduidelijk hoeveel slachtoffers de hackersgroep heeft gemaakt tijdens de spear-phishingcampagne in 2018. ESET heeft tenminste twintig kliks op de verspreide malafide URL geregistreerd, maar het daadwerkelijk aantal slachtoffers kan niet worden achterhaald. "Helaas kunnen we zonder het e-mailbericht niet weten of er instructies zijn verstuurd nar de gebruiker, of er andere vormen van social engineering zijn ingezet of dat de aanval uitsluitend vertrouwd op de nieuwsgierigheid van het slachtoffer. Het archief bestaat twee bestanden: de eerste is een uitvoerbaar bestand en de tweede een nep PDF-bestand", legt Alexis Dorais-Joncas, Security Intelligence Team Lead bij het ESET R&D center in het Canadese Montreal, uit.

Meer informatie over het onderzoek van ESET, de hackersgroep Sednit/Fancy Bear en de backdoor Zebrocy is hier te vinden.