Sofacy разрушает стереотипы

По наблюдениям «Лаборатории Касперского», русскоязычная кибергруппировка Sofacy не сворачивает свою активность, несмотря на то, что в 2014 году ее деятельность получила широкую огласку. Напротив, группа пополняет арсенал новыми, более изощренными техниками, позволяющими успешнее проводить заражение и лучше скрывать его следы в системе. «Обычно, если деятельность кибершпионской группировки получает широкую огласку, она либо уходит в подполье, либо резко меняет тактику и стратегию. Но с Sofacy все по-другому. Мы наблюдали их атаки в течение нескольких лет, о них неоднократно писали разные эксперты по информационной безопасности, но они и не думают прятаться, а, наоборот, атакуют с новой силой. Это одна из самых преуспевающих, гибких и динамичных кибергруппировок сегодня, и мы имеем все основания полагать, что атаки продолжатся», — уверен Костин Райю, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского».

Группировка, известная также под именами Fancy Bear, Sednit, STRONTIUM и APT28, ведет свою деятельность как минимум с 2008 года. Ее целью в основном являются предприятия оборонного сектора и правительственные структуры по всему миру. Новые инструменты Sofacy, обнаруженные экспертами «Лаборатории Касперского», обладают свойством взаимозаменяемости. Это означает, что компьютер жертвы заражается несколькими вредоносными программами, одна из которых может восстановить остальные в случае их блокировки или удаления системой защиты.

Еще один новый метод, который, по наблюдениям «Лаборатории Касперского», все чаще использует Sofacy, — это деление вредоносного ПО на модули с функциями более надежного сокрытия их активности в атакованной системе. Кроме того, Sofacy совершенствует способы кражи данных из компьютеров, не подключенных к интернету. Злоумышленники создают новые версии модулей, позволяющих в скрытом режиме копировать данные с USB-устройств, которые ранее использовались на компьютерах, лишенных доступа в сеть.