Echipa GReAT (Global Research and Analysis Team) de la Kaspersky Lab a descoperit noi atacuri ale gruparii Sofacy, care folosesc mai multe tehnici avansate, cu o persistenta mai mare si care lasa mai putine urme in sistemul atacat.
Sofacy (cunoscuta si ca “Fancy Bear”, “Sednit”, “STRONTIUM” si “APT28”) este o grupare de limba rusa, activa din 2008, care are ca tinte in special institutii militare si guvernamentale din toata lumea. Gruparea nu si-a incetat activitatea in momentul intrarii in vizorul public, in 2014. Dimpotriva, expertii Kaspersky Lab au descoperit noi instrumente, mai avansate, in arsenalul Sofacy. Noul instrumentar include:
• Instrumente intersanjabile – Atacatorii folosesc numeroase backdoors pentru a infecta o tinta cu diferite instrumente, fiecare servind drept sursa de reinfectare, in cazul in care unul dintre ele este blocat sau eliminat de o solutie de securitate.
• Instrumente modulare: Atacatorii folosesc malware modular, punand unele caracteristici ale punctelor de acces in module separate pentru a ascunde mai bine activitatea in sistemul atacat. Aceasta este o tendinta tot mai populara pe care Kaspersky Lab o vede frecvent in atacurile cu tinta predefinita.
• Acces la computere neconectate la reteaua de Internet: In numeroase atacuri recente (din 2015), gruparea Sofacy a folosit o noua versiune a dispozitivului USB care le permite sa copieze date din computerele care nu sunt conectate la Internet.
“De regula, atunci cand se publica un studiu despre o anumita grupare de spionaj cibernetic, acea grupare reactioneaza: ori isi intrerupe activitatea, ori isi schimba total tacticile si strategia”, a declarat Costin Raiu, Director GReAT (Global Research and Analysis Team), la Kaspersky Lab. “Cu Sofacy, acest lucru nu este valabil. I-am vazut lansand atacuri de cativa ani, iar activitatea lor a fost raportata de nenumarate ori de catre industria de securitate. In 2015, si-au intensificat activitatea considerabil, lansand nu mai putin de cinci atacuri de tip 0 days, care au facut din Sofacy unul dintre cele mai prolifici, mai agili si mai dinamici actori ai amenintarilor. Avem motive sa credem ca aceste atacuri vor continua.”
Strategii de protectie
Produsele Kaspersky Lab detecteaza mostre ale celor mai noi programe malware folosite de Sofacy, printre care se afla mai multe tipuri de troieni.
Pentru a proteja o organizatie impotriva unor atacuri complexe cu tinta predefinita, inclusiv cele lansate de Sofacy, Kaspersky Lab recomanda utilizarea unei abordari pe mai multe niveluri care imbina:
• Tehnologii traditionale anti-malware,
• Managementul patch-urilor,
• Detectia intruziunilor;
• Crearea de liste de programe verificate (whitelisting) si strategii de refuz automat de acces
