Медведь пошёл на Восток: хакеры из Sofacy стали чаще атаковать азиатские организации

Новости

Медведь пошёл на Восток: хакеры из Sofacy стали чаще атаковать азиатские организации

Медведь пошёл на Восток: хакеры из Sofacy стали чаще атаковать азиатские организации

Исследователи «Лаборатории Касперского» наблюдают, что русскоязычная кибергруппировка Sofacy в последнее время смещает фокус своей деятельности на Восток. Среди атакуемых стран — Армения, Турция, Казахстан, Таджикистан, Афганистан, Монголия, Китай и Япония. Особенный интерес у Sofacy вызывают военные и дипломатические ведомства.

Sofacy — одна из самых активных кибершпионских группировок, также известная под именами APT28 и Fancy Bear. «Лаборатория Касперского» отслеживает её активность уже в течение многих лет, а в феврале опубликовала отчёт о деятельности группы в 2017 году. В нём исследователи отмечают постепенный сдвиг от связанных с НАТО мишеней к целям в странах Центральной и Восточной Азии. Sofacy использует целевой фишинг и «атаки на водопое»* для кражи информации, включая данные учётных записей, конфиденциальные письма и документы. Также группировку подозревают в целевом распространении деструктивного ПО.

Последние данные показывают, что Sofacy — не единственная шпионская кибергруппа, активная в этих регионах. В результате наблюдаются атаки разных групп на одни и те же цели. Эксперты обнаружили случаи, когда вредоносное ПО Zebracy (одна из разработок Sofacy) боролось за доступ к атакуемому компьютеру с бэкдором Mosquito от Turla(ещё одна русскоязычная хакерская группировка). В некоторых случаях зловред SPLM, также принадлежащий Sofacy, конкурировал с ПО китайскоязычных хакеров Danti.

Однако наиболее интригующее пересечение обнаружилось между Sofacy и англоязычной группировкой Lamberts. Эксперты нашли следы присутствия Sofacy на сервере, который ранее был идентифицирован как скомпрометированный инструментами Grey Lambert. Сервер принадлежит китайскому конгломерату, который работает в сфере аэрокосмических технологий и противовоздушной обороны.

«Sofacy иногда воспринимают как довольно «диких» и отчаянных хакеров. Но, как мы видим, группа может действовать очень прагматично, взвешенно и гибко. Об их активности на Востоке рассказывают мало, но они совершенно точно не единственная группировка с интересами в этом регионе, точнее даже — с интересом к конкретным целям. Мир киберугроз становится всё более «густонаселённым», поэтому в будущем мы вполне можем увидеть больше таких пересечений. Этим можно объяснить, почему многие группировки перед тем, как развернуть полномасштабную атаку, проверяют системы своих жертв на следы других вторжений», — отметил Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского».

Защитные решения «Лаборатории Касперского» успешно детектируют и нейтрализуют все известные зловреды Sofacy.

Подробнее об этом в отчете «Лаборатории Касперского» – https://securelist.com/masha-and-these-bears/84311/.

*Преднамеренное заражение часто посещаемых сайтов

World Podium © 2015 - 2024.  Свидетельство о регистрации СМИ: ЭЛ № ФС 77 - 62927.  Дата регистрации: 31.08.2015.

Исключительные права на материалы, размещённые на данном сайте, в соответствии с законодательством Российской Федерации об охране результатов интеллектуальной деятельности принадлежат компании «World Podium». При использовании текстовых материалов издания, обязательна активная ссылка на ресурс и имя автора. Фотоматериалы сайта не подлежат использованию другими лицами в какой бы то ни было форме без письменного разрешения правообладателя. 

Приобретение авторских прав: wp_info@mail.ru

Сообщения и комментарии читателей сайта размещаются без предварительного редактирования. Редакция оставляет за собой право удалить их с сайта или отредактировать, если указанные сообщения и комментарии являются злоупотреблением свободой массовой информации или нарушением иных требований закона. 

Информация размещенная на данном сайте не является публичной офертой, и размещается в образовательных целях.

Поделитесь