Nhóm hacker Nga chuyên tấn công quân đội và chính phủ
Nhóm hacker này hoạt động ít nhất từ năm 2008, phần lớn nhắm vào tổ chức quân đội và chính phủ trên toàn thế giới.
Nhóm Nghiên cứu và Phân tích Toàn cầu Kaspersky Lab (GReAT) vừa phát hiện ra những cuộc tấn công mới từ nhóm hacker Sofacy, trong đó có sử dụng nhiều kỹ xảo tiên tiến được thiết kế để phục vụ lâu dài và hoạt động ẩn danh.
Sofacy (được biết với những cái tên khác như Fancy Bear, Sednit, STRONTIUM hay APT28) là mối đe dọa cao đến từ Nga, hoạt động ít nhất từ năm 2008, phần lớn nhắm vào tổ chức quân đội và chính phủ trên toàn thế giới.
Sofacy là mối đe dọa cao đến từ Nga, hoạt động ít nhất từ năm 2008.
Kể từ khi bị phát hiện vào năm 2014, nhóm này chưa từng dừng hoạt động. Ngược lại, các chuyên gia Kaspersky Lab còn phát hiện thêm nhiều công cụ mới và cao cấp hơn trong kho vũ khí tấn công của Sofacy.
Vào năm 2015 - năm của làn sóng tấn công an ninh mạng, một tổ chức trong ngành quốc phòng đã bị tấn công bởi một phiên bản của trojan AZZY - trojan thường được Sofacy sử dụng để thâm nhập vào thiết bị và cài đặt công cụ độc hại. Ngay lập tức, Kaspersky Lab đã chặn phần mềm độc hại này và sự việc đến đây có thể đã kết thúc.
Tuy nhiên, những gì xảy ra tiếp theo lại khá bất thường: Chỉ 1 tiếng đồng hồ sau khi trojan bị chặn, một phiên bản khác của nó đã tạo ra và cài vào PC mục tiêu. Phiên bản này né được công nghệ bảo mật thông thường AV, nhưng vẫn bị phát hiện bởi hệ thống phụ phòng chống xâm nhập máy chủ HIPS.
GReAT đã phát hiện ra phiên bản mới của trojan được đẩy xuống thiết bị mục tiêu không thông qua khai thác lỗ hổng zero-day (đây được xem là thói quen của Sofacy), mà bằng công cụ lây nhiễm khác được đặt tên là msdeltemp.dll. Trojan msdeltemp.dll là công cụ tải dữ liệu cho phép tin tặc gửi lệnh và lấy dữ liệu từ máy bị nhiễm độc, cũng được dùng để cài đặt trojan tinh vi hơn vào hệ thống.
Ngoài ra, các chuyên gia Kaspersky Lab còn phát hiện ra nhiều phiên bản mã độc trên USB dùng để đánh cắp dữ liệu, bắt đầu hoạt động từ tháng 2.2015. Chẳng hạn USBSTEALER được thiết kế để theo dõi ổ đĩa di động và lấy dữ liệu từ chúng. Dữ liệu bị đánh cắp sẽ được sao chép vào thư mục ẩn, sau đó kẻ tấn công sẽ lấy nó ra nhờ các phiên bản của AZZY.