Sofacy là mối đe dọa cấp cao đến từ Nga hoạt động ít nhất từ năm 2008, phần lớn nhắm vào tổ chức quân đội và chính phủ trên toàn thế giới. Kể từ khi bị phát hiện vào năm 2014, nhóm này chưa từng dừng lại. Thêm vào đó, các chuyên gia Kaspersky Lab còn phát hiện nhiều công cụ mới và cao cấp hơn trong kho vũ khí tấn công của Sofacy.

Vào năm 2015, năm của làn sóng tấn công, một tổ chức trong ngành quốc phòng bị tấn công bởi một phiên bản của AZZY – trojan thường được Sofacy sử dụng để thâm nhập vào thiết bị và tải xuống nhiều công cụ độc hại bổ sung. Sản phẩm của Kaspersky Lab đã chặn phần mềm độc hại này và sự việc đến đây có thể đã kết thúc. Nhưng những gì xảy ra tiếp theo lại khá bất thường: chỉ 1 tiếng đồng hồ sau khi chặn trojan, một phiên bản khác của nó được kẻ tấn công tạo ra và cài vào PC mục tiêu. Phiên bản này trốn công nghệ AV thông thường, nhưng vẫn bị phát hiện bởi hệ thống phụ phòng chống xâm nhập máy chủ (HIPS).

Bên cạnh việc thay đổi phương thức phục hồi, các chuyên gia Kaspersky Lab còn phát hiện ra nhiều phiên bản module USB dùng để đánh cắp của Sofacy giúp lấy dữ liệu từ mạng air-gapped. Module USBSTEALER được thiết kế tùy thuộc vào quy luật mà kẻ tấn công đưa vào để theo dõi ổ đĩa di động và lấy file từ chúng. Dữ liệu bị đánh cắp được sao chép vào thư mục ẩn, sau đó kẻ tấn công sẽ lấy nó ra nhờ các phiên bản của AZZY.

Những phiên bản đầu tiên của thế hệ module USB dùng để đánh cắp đã có từ tháng 2/2015 và dường như chỉ tập trung vào mục tiêu cấp cao.

Costin Raiu, Giám đốc GReAT Team, Kaspersky Lab cho biết: “Thông thường, khi ai đó công bố nghiên cứu về một nhóm gián điệp mạng, chúng sẽ phản ứng lại bằng cách chúng sẽ dừng lại hoặc thay đổi phương thức và chiến thuật. Với Sofacy thì không phải lúc nào cũng như vậy. Chúng tôi đã chứng kiến chúng tấn công trong nhiều năm cho đến bây giờ và hoạt động của chúng cũng đã bị cộng đồng bảo mật phát hiện rất nhiều lần. Trong năm 2015, hoạt động của chúng tăng lên đáng kể, thực hiện không dưới 5 zero-day, khiến cái tên Sofacy trở thành mối đe dọa nhanh nhẹn và năng động nhất trên đấu trường. Chúng tôi có nhiều lí do tin rằng những cuộc tấn công sẽ vẫn tiếp diễn”.



Bình luận

  • TTCN (0)