Gruparea Sofacy, activă încă din 2008, foloseşte mai multe tehnici avansate, cu o persistenţă mai mare, şi care lasă mai puţine urme în sistemul atacat. Aceasta are ca ţinte în special instituţii militare şi guvernamentale.

Sofacy, cunoscută şi drept “Fancy Bear”, “Sednit”, “STRONTIUM” şi “APT28”, este o grupare de limbă rusă, activă încă din 2008 şi despre care au apărut informaţii publice în 2014, nu şi-a întrerupt activitatea, ba chiar şi-a fortificat-o.

Printre noile instrumente mai avansate folosite de Sofacy se numără cele interşanjabile, care folosesc numeroase puncte de acces pentru a infecta o ţintă cu diferite instrumente, fiecare servind drept sursă de reinfectare, în cazul în care unul dintre ele este blocat sau eliminate de o soluţie de securitate. Apoi sunt cele modulare, care utilizează malware modular, punând unele caracteristici ale punctelor de acces în module separate pentru a ascunde mai bine activitatea în sistemul atacat. Aceasta este o tendinţă tot mai populară pe care Kaspersky Lab o vede frecvent în atacurile cu ţintă predefinită.

În final, au acces la computere neconectate la reţeaua de Internet: în numeroase atacuri recente din 2015, gruparea Sofacy a folosit o nouă versiune a dispozitivului USB care le permite să copieze date din computerele care nu sunt conectate la Internet. Costin Raiu, director GReAT (Global Research and Analysis Team) la Kaspersky, susţine că în mod obişnuit când este publicat un studiu despre o anumită grupare de spionaj cibernetic, aceasta îşi întrerupe activitatea ori schimbă total tacticile şi strategia.

„Cu Sofacy, acest lucru nu este întotdeauna valabil. I-am văzut lansând atacuri de câţiva ani, iar activitatea lor a fost raportată de nenumărate ori de către industria de securitate. În 2015, şi-au intensificat activitatea semnificativ, lansând nu mai puţin de cinci atacuri de tip zeo day, care au făcut din Sofacy unul dintre cele mai prolifici, mai agili şi mai dinamici actori ai ameninţărilo“, a explicat acesta.

Pentru a proteja o organizaţie împotriva unor atacuri complexe cu ţintă predefinită, inclusiv celor lansate de Sofacy, compania recomandă utilizarea unei abordări pe mai multe, niveluri, care îmbină tehnologii tradiţionale anti-malware, managementul corecţiilor, detecţia intruziunilor şi chiar crearea de liste de programe verificate (whitelisting) şi strategii de refuz automat de acces.

<a href="https://www.facebook.com/adevarultech" target="_blank" rel="nofollow">Hai pe Facebook ca să ştii ce-i nou şi când nu eşti pe site!</a>