Theo dõi Báo Hànộimới trên

Nhóm gián điệp mạng khét tiếng Sofacy trở lại với công cụ lây nhiễm mới

Lan Hương| 14/12/2015 11:47

(HNMO) - Nhóm nghiên cứu và phân tích toàn cầu Kaspersky Lab (GReAT) vừa phát hiện những cuộc tấn công mới từ nhóm Sofacy trong đó sử dụng nhiều kỹ xảo tiên tiến được thiết kế để phục vụ tấn công lâu dài và hoạt động ẩn danh nguy hiểm hơn trên hệ thống mục tiêu.

Sofacy (được biết với những cái tên “Fancy Bear”, “Sednit”, “STRONTIUM” và “APT28) là mối đe dọa cấp cao đến từ Nga hoạt động ít nhất từ năm 2008, phần lớn nhắm vào tổ chức quân đội và chính phủ trên toàn thế giới. Kể từ khi bị phát hiện vào năm 2014 đến nay, nhóm này chưa từng dừng lại. Thêm vào đó, các chuyên gia Kaspersky Lab còn phát hiện nhiều công cụ mới và cao cấp hơn trong kho vũ khí tấn công của Sofacy.

Ảnh minh họa.


Costin Raiu, Giám đốc GReAT Team, Kaspersky Lab cho biết: “Thông thường, khi ai đó công bố nghiên cứu về một nhóm gián điệp mạng, chúng sẽ phản ứng lại bằng cách chúng sẽ dừng lại hoặc thay đổi phương thức và chiến thuật. Với Sofacy thì không phải lúc nào cũng như vậy. Chúng tôi đã chứng kiến chúng tấn công trong nhiều năm cho đến bây giờ và hoạt động của chúng cũng đã bị cộng đồng bảo mật phát hiện rất nhiều lần. Trong năm 2015, hoạt động của chúng tăng lên đáng kể, thực hiện không dưới 5 zero-day, khiến cái tên Sofacy trở thành mối đe dọa nhanh nhẹn và năng động nhất trên đấu trường. Chúng tôi có nhiều lí do tin rằng những cuộc tấn công sẽ vẫn tiếp diễn”.

Sản phẩm của Kaspersky Lab phát hiện một số mẫu phần mềm độc hại mới được Sofacy sử dụng với những cái tên như: Trojan.Win32.Sofacy.al, Trojan.Win32.Sofacy.be, Trojan.Win32.Sofacy.bf, Trojan.Win32.Sofacy.bg, Trojan.Win32.Sofacy.bi, Trojan.Win32.Sofacy.bj, Trojan.Win64.Sofacy.q, Trojan.Win64.Sofacy.s, HEUR:Trojan.Win32.Generic.

Để bảo vệ tổ chức trước các cuộc tấn công tinh vi có chủ đích, bao gồm từ Sofacy, Kaspersky Lab khuyến nghị sử dụng phương pháp đa tầng có kết hợp của: Công nghệ truyền thống chống phần mềm độc hại; Quản lý bản vá lỗi; Phát hiện xâm nhập máy chủ; Chiến lược whilelist và chặn mặc định.

Bộ công cụ mới của Sofacy:

• Có thể hoán đổi cho nhau: Kẻ tấn công sử dụng hàng loạt công cụ ngầm để lây nhiễm một mục tiêu với nhiều công cụ độc hại khác nhau, một trong số đó hoạt động như một công cụ tái nhiễm khi một công cụ khác bị giải pháp an ninh chặn lại hoặc xóa sổ.

• Có thể tách rời được: Kẻ tấn công dùng đơn bộ hóa phần mềm độc hại, thêm nhiều tính năng của công cụ ngầm vào những module riêng biệt nhằm ẩn mình tốt hơn trong hệ thống bị tấn công. Kaspersky Lab nhận thấy đây là xu hướng ngày càng phổ biến trong những cuộc tấn công có mục tiêu.

• Hệ thống air-gapped: trong nhiều cuộc tấn công gần đây (2015), nhóm Sofacy đã sử dụng phiên bản lây nhiễm đánh cắp từ USB, cho phép chúng sao chép dữ liệu từ máy tính trong hệ thống air-gapped.
(0) Bình luận
Nổi bật
Đừng bỏ lỡ
Nhóm gián điệp mạng khét tiếng Sofacy trở lại với công cụ lây nhiễm mới

(*) Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Báo Hànộimới.