«Лаборатория Касперского» сообщила об усилении атак кибергруппировки Sofacy

Группировка, известная также под именами Fancy Bear, Sednit, STRONTIUM и APT28, нацелена на военные предприятия и правительственные структуры по всему миру.

По наблюдениям "Лаборатории Касперского", русскоязычная кибергруппировка Sofacy не сворачивает свою деятельность, несмотря на то что в 2014 году получила широкую огласку. Наоборот, группа расширяет арсенал новыми, более изощренными техниками, позволяющими успешнее проводить заражение и лучше скрывать его следы в системе.

Новые инструменты Sofacy, обнаруженные экспертами "Лаборатории Касперского", обладают свойством взаимозаменяемости. Это означает, что компьютер жертвы заражается несколькими вредоносными программами, одна из которых может восстановить остальные в случае их блокировки или удаления системой защиты. Группировка Sofacy и раньше стремилась повысить устойчивость зловредов, устанавливая два бэкдора, благодаря чему в случае обнаружения одного из них у злоумышленников все равно оставался доступ к системе. Но теперь Sofacy действует более изощренно - с помощью отдельного модуля загружает с командного сервера новую версию заблокированного бэкдора, что позволяет не начинать заново процесс заражения системы, а продолжать его с того места, где зловред был заблокирован.

Еще один новый метод, который, по наблюдениям "Лаборатории Касперского", все чаще использует Sofacy, - это деление вирусных программ на модули с функциями более надежного сокрытия их активности в атакованной системе.

Кроме того, Sofacy совершенствует способы кражи данных из компьютеров, не подключенных к Интернету. Злоумышленники создают новые версии модулей, позволяющих в скрытом режиме копировать данные с USB-устройств, которые ранее использовались на компьютерах, лишенных доступа в Сеть.