Hackerii de la Fancy Bear vizează acum ținte militare din Orientul Îndepărtat

- Adrian Ungureanu
396

Se pare că hackerii de la Fancy Bear, cunoscuți și sub numele Sofacy și APT28, și-au mutat interesul către alte zone ale lumii, după ce mai mulți ani hackerii ruși au atacat ținte NATO.

Acum, cercetătorii Kaspersky Lab au observat că gruparea de limbă rusă Sofacy, cunoscută și ca APT28 sau Fancy Bear, își mută zona de interes către Orientul Îndepărtat, vizând în special domeniul militar și de apărare și organizații diplomatice – pe lângă țintele sale tradiționale, care au legătură cu NATO.

Cercetătorii au descoperit că Sofacy se suprapune cu alți atacatori atunci când își alege victimele, inclusiv cu gruparea de limbă rusă Turla și cea de limbă chineză Danti. Demn de remarcat, ei au descoperit backdoor-urile Sofacy pe un server compromis anterior de grupul vorbitor de limbă engleză The Lamberts. Serverul aparține unui conglomerat militar și aerospațial din China.

Sofacy este un grup de spionaj cibernetic foarte activ și prolific, pe care cercetătorii Kaspersky Lab îl urmăresc de mai mulți ani. În luna februarie, Kaspersky Lab a publicat un rezumat al activităților grupărilor Sofacy pe anul 2017, dezvăluind o mișcare graduală de la ținte legate de NATO, către Orientul Mijlociu, Asia Centrală și mai departe. Sofacy folosește spear-phishing și uneori tehnici de tip water-holing pentru a fura informații, inclusiv date de autentificare în diferite conturi, date sensibile și documente. De asemenea, este suspectat că ar fi trimis mesaje infectate către diferite ținte.

Noile descoperiri arată că Sofacy nu este singurul „prădător” care urmărește aceste regiuni și că uneori diferiți atacatori vizează aceleași ținte.

„Grupul Sofacy este descris uneori ca imprudent și necugetat, dar după cum l-am văzut noi, poate fi pragmatic, rezervat și agil”, a spus Kurt Baumgartner, Principal Security Researcher, Kaspersky Lab.

Pentru organizații cu activități în domeniul militar, al apărării și al afacerilor externe, în regiunile afectate, Kaspersky Lab recomandă implementarea următoarelor măsuri pentru a nu cădea victimă unui atac direcționat avansat:
• Folosiți o soluție de securitate corporate testată, alături de tehnologii împotriva atacurilor direcționate și informații despre amenințări, cum este soluția Kaspersky Threat Management and Defense. Acestea reușesc să detecteze atacuri direcționate complexe analizând anomaliile din rețea și le dau echipelor de securitate cibernetică vizibilitate totală asupra rețelei;
• Oferiți personalului din domeniul securității acces la cele mai noi informații despre amenințări, pentru a avea instrumentele necesare cercetării și prevenirii atacurilor direcționate, cum ar fi indicatorii de compromitere (IOC), YARA și rapoarte personalizate despre amenințări;
• Dacă descoperiți primele semne ale unui atac direcționat, luați în considerare serviciile administrate de protecție, care vă vor permite să detectați proactiv amenințări avansate, să reduceți timpul de întrerupere a activității și să asigurați luarea rapidă a primelor măsuri în cazul incidentelor.