Rusky hovořící kyberšpionážní skupina Sofacy, známá také jako Fancy Bear, Sednit, SSTRONTIUM či APT28, je aktivní přinejmenším od roku 2008. Zaměřuje se především na vojenské a vládní organizace po celém světě. Tým GReAT (Global Research and Analysis Team) Kaspersky Lab nyní zaznamenal nové útoky této skupiny, která využívá několika modernizovaných technik vyvinutých pro lepší vytrvalost a neviditelnost škodlivých aktivit v napadeném systému. (TZ)
Skupina se do veřejného povědomí poprvé dostala v roce 2014 a je nadále aktivní. Analytici Kaspersky Lab navíc objevili v jejím arzenálu nové, ještě pokročilejší nástroje. Mezi ně patří:
- Zaměnitelnost: útočníci používají různá zadní vrátka k infikování cíle nejrůznějšími škodlivými nástroji. Jeden z nich slouží k opětovnému nakažení v případě, že ten původní by byl zablokován či zničen bezpečnostním řešením.
- Modularita: útočníci využívají malwarové modularizace. Některé funkce zadních vrátek vkládají do samostatných modulů, aby lépe skryly své aktivity v napadeném systému. Tento trend pravidelně pozorují analytici Kaspersky Lab u cílených útoků.
- Air-gap: Sofacy používala při letošních útocích novou verzi svého USB implantátu, který umožní zkopírovat data z počítačů chráněných takzvanou air-gap metodou.
„Kyberšpionážní skupina obvykle zareaguje, pokud je o ní zveřejněn průzkum. Buď svou činnost zastaví, nebo výrazně změní taktiku a strategii. To ovšem není případ skupiny Sofacy. Její útoky registrujeme již několik let a bezpečnostní komunita o nich informovala již několikrát. V průběhu letošního roku Sofacy svou aktivitu navíc významně zvýšila. Použila nejméně pět 0-days, což z ní činí jednu z nejproduktivnějších, nejagilnějších a nejdynamičtějších hrozeb. Domníváme se, že tyto útoky budou i nadále pokračovat,“ řekl Costin Raiu, vedoucí týmu GReAT, Kaspersky Lab.
Řešení Kaspersky Lab detekovala vzorky nového malwaru použité skupinou Sofacy s následujícími názvy: Trojan.Win32.Sofacy.al, Trojan.Win32.Sofacy.be, Trojan.Win32.Sofacy.bf, Trojan.Win32.Sofacy.bg, Trojan.Win32.Sofacy.bi, Trojan.Win32.Sofacy.bj, Trojan.Win64.Sofacy.q, Trojan.Win64.Sofacy.s, HEUR:Trojan.Win32.Generic
Analytici Kaspersky Lab doporučují firmám k ochraně před sofistikovanými cílenými útoky, včetně těch od Sofacy, používat vícevrstvý přístup. Ten by měl kombinovat tradiční anti-malwarové technologie, patch management, detekci narušení hostitele, whitelisting a strategie na bázi „default-deny“.
Více se o tom, jak řešení Kaspersky Lab chrání před útoky skupiny Sofacy, dozvíte zde. Informace o této skupině naleznete také na blogu Securelist.com. Jak se vyšetřují podobné útoky, můžete zhlédnout na tomto videu. Zákazníkům Kaspersky Lab jsou navíc k dispozici služby Kaspersky Intelligent Services. Na tomto odkazu najdete předpovědi o prostředí APT hrozeb pro rok 2016.
O společnosti Kaspersky Lab
Kaspersky Lab je jednou z nejrychleji rostoucích společností kybernetické bezpečnosti a největší, která je soukromě vlastněná. Společnost se řadí mezi čtyři největší prodejce IT bezpečnostních řešení pro uživatele koncových zařízení (IDC, 2014). Od roku 1997 je Kaspersky Lab inovátorem v oblasti kybernetické bezpečnosti a poskytuje efektivní digitální bezpečnostní řešení a znalosti velkým podnikům, malým a středním firmám i domácím uživatelům. Kaspersky Lab je mezinárodní společností působící v bezmála 200 zemích a oblastech po celém světě. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů. Více se dozvíte na www.kaspersky.cz.