Noi di Kaspersky Lab monitoriamo numerosissime minacce informatiche (e i relativi gruppi che ci sono dietro), creiamo dei report a riguardo e proteggiamo i nostri utenti; alcuni di questi gruppi sono conosciuti a livello internazionale e, a volte, si fanno spazio su giornali e notiziari. Non importa quale sia la lingua che parlano, il nostro compito \u00e8 di raccogliere informazioni su questi gruppi e minacce, effettuando le opportune ricerche, con lo scopo di proteggere i nostri clienti.<\/p>\n\n
Uno dei gruppi pi\u00f9 attivi nei paesi di lingua russa \u00e8 l\u2019APT<\/a> chiamata Sofacy<\/a>, conosciuta anche come APT28, Fancy Bear o Tsar Team ed \u00e8 nota soprattutto per le sue campagne di spear phishing<\/a> e attivit\u00e0 di cyberspionaggio. Durante il 2017, questo gruppo ha cambiato il suo modo di operare e i suoi interessi, e vale la pena mettervi al corrente.<\/p>\n Seguiamo i movimenti di Sofacy fin dal lontano 2011 e conosciamo bene gli strumenti e le tattiche che impiega. Nel secondo trimestre del 2017, il cambiamento principale riguarda il suo passare dai paesi NATO (dove era solita perpetrare i suoi attacchi di spear phishing) a paesi di Asia e Medio Oriente (e oltre). In passato, Sofacy ha anche colpito i Giochi Olimpici, l\u2019Agenzia Mondiale Antidoping (WADA) e il Tribunale Arbitrale dello Sport (CAS).<\/p>\n Sofacy si avvale di strumenti differenti a seconda dell\u2019obiettivo. Ad esempio, all\u2019inizio del 2017 \u00a0la campagna Dealer\u2019s Choice ha visto come vittime principali gli enti militari e diplomatici soprattutto di Ucraina e paesi NATO; in seguito, gli hacker hanno utilizzato altri due strumenti, che abbiamo chiamato Zabrocy e SPLM, per colpire aziende di vario profilo, tra cui centri scientifici, di ingegneria o servizi stampa. Entrambi i tool sono cambiati notevolmente quest\u2019anno, in particolare SPLM (chiamato anche Chopsticks) che \u00e8 passato ad essere modulare e a utilizzare comunicazioni cifrate.<\/p>\n Lo schema di infezione inizia con una mail di spear phishing che contiene un file con uno script che scarica il payload. Sofacy \u00e8 conosciuto anche per individuare e sfruttare le vulnerabilit\u00e0 zero-day<\/a> e per diffondere il payload mediante questi exploit. Si tratta di un gruppo dalla grande efficacia e fa di tutto per non farsi scoprire (e, di conseguenza, risulta difficile effettuare delle ricerche al riguardo).<\/p>\n Quando si ha a che fare con campagne mirate cos\u00ec sofisticare come Sofacy, la ricerca sugli incidenti gi\u00e0 avvenuti \u00e8 fondamentale: in questo modo si pu\u00f2 capire cosa cercano i cybercriminali, il perch\u00e9 e si possono individuare eventuali impianti dormienti.<\/p>\n