Cum atacă hackerii ruși guvernele din toată lumea

de: Bogdan Cristea
04 12. 2015

Gruparea rusească Sofacy a apelat de curând la nou tehnici avansate pentru a ataca guverne din toată lumea.

Sofacy (cunoscută și ca “Fancy Bear”, “Sednit”, “STRONTIUM” și “APT28”) este o grupare de limbă rusă, activă din 2008, care are ca ținte în special instituții militare și guvernamentale din toată lumea. Deși unii au crezut că Sofacy și-a încetat activitatea în momentul intrării în vizorul public, în 2014, cei de la Kaspersky Lab au descoperit noi instrumente, mai avansate, în arsenalul grupării.

În primul rând, atacatorii folosesc numeroase puncte de acces pentru a infecta o țintă cu diferite instrumente. Fiecare servește drept sursă de reinfectare, în cazul în care unul dintre ele este blocat sau eliminate de o soluție de securitate. De asemenea, atacatorii folosesc malware modular, punând unele caracteristici ale punctelor de acces în module separate pentru a ascunde mai bine activitatea în sistemul atacat.

Mai mult decât atât, gruparea Sofacy a folosit o nouă versiune a dispozitivului USB care le permite să copieze date din computerele care nu sunt conectate la Internet. “De regulă, atunci când se publică un studiu despre o anumită grupare de spionaj cibernetic, acea grupare reacționează: ori își întrerupe activitatea, ori schimbă total tacticile și strategia. Cu Sofacy, acest lucru nu este întotdeauna valabil”, a declarant Costin Raiu, Director GReAT (Global Research and Analysis Team), la Kaspersky Lab.

Pentru a proteja o organizație împotriva unor atacuri complexe cu țintă predefinită, inclusiv celor lansate de Sofacy, este recomandată utilizarea unei abordări pe mai multe, niveluri, care îmbină: tehnologii tradiționale anti-malware, managementul corecțiilor, detecția intruziunilor și crearea de liste de programe verificate (whitelisting) și strategii de refuz automat de acces.