Grupo de ciberespionagem Fancy Bear continua operacional em 2017

A ESET tem monitorizado o Fancy Bear (também conhecido por Sednit ou APT28) – um dos mais notórios grupos de ciberespionagem do mundo. Ao longo da monitorização da atividade do grupo, a ESET confirmou que o principal objetivo do Fancy Bear é roubar informação confidencial de alvos específicos de alto perfil. Os alegados alvos durante os últimos anos incluem a rede televisiva francesa TV5Monde em abril de 2015, o parlamento alemão um mês depois e o Comité Nacional Democrático (DNC) americano em março de 2016.

Ao visar certos indivíduos ou grupos, o Fancy Bear usa dois principais métodos de ataque para transmitir o seu software malicioso – tipicamente persuadindo alguém a abrir um anexo de e-mail ou redirecionando um indivíduo para um website que contém um exploit kit personalizado como resultado de um e-mail de phishing.
Quando o grupo identifica um alvo interessante, ativa o seu kit de espionagem, monitorizando dispositivos comprometidos a longo prazo. O Xagent é uma das duas backdoors transmitidas através deste método e usadas para espionagem.

“O Xagent é uma backdoor extremamente bem desenvolvida e, ao longo dos últimos anos, tornou-se no principal malware de espionagem da Sednit,” explica Alexis Dorais-Joncas, líder da equipa de segurança da ESET. “Com a sua capacidade de comunicar através de HTTP ou email, temos observado esta backdoor modular a ser usada extensivamente nas operações do grupo.”

Em 2017, a ESET descobriu uma nova versão do Xagent para Windows, que inclui novas técnicas de ofuscação que melhoram significativamente a maneira como as cadeias de caracteres são encriptadas. “As técnicas acrescentadas à backdoor – encriptação e Algoritmo de Geração de Domínio (DGA) – dificultam a nossa vida,” adianta ainda Dorais-Joncas. “A primeira torna a inversão mais difícil, enquanto a segunda dificulta a aquisição de domínios uma vez que há mais domínios para adquirir ou apreender.”

A adição de novas funcionalidades e compatibilidade com as maiores plataformas – Windows, Linux, Android e iOS – fazem do Xagent a principal backdoor usada pelo Fancy Bear atualmente.