"Касперский" предупреждает, что хакеры из группировки Sofacy переносят свои действия из Европы в Азию

13 Марта 2018 21:52

Хакеры из группы Fancy Bear (также известной как Sofacy) перемещают свою активность из стран НАТО в восточные страны, под угрозой - военные и дипломатические ведомства, сообщает "Интерфакс" со ссылкой на "Лабораторию Касперского".
"Русскоязычная кибергруппировка Sofacy в последнее время смещает фокус своей деятельности на Восток",- говорится в сообщении со ссылкой на данные экспертов компании.
"Особенный интерес у Sofacy вызывают военные и дипломатические ведомства", - добавили в компании, отметив, что среди стран, в которых была замечена активность кибергруппировки - Армения, Турция, Казахстан, Таджикистан, Афганистан, Монголия, Китай и Япония.
"Sofacy - одна из самых активных кибершпионских группировок, также известная под именами APT28 и Fancy Bear", - отметили в "Лаборатории Касперского", добавив, что отслеживают активность группировки "в течение многих лет". Постепенный сдвиг от связанных с НАТО целей Sofacy к целям в странах Центральной и Восточной Азии отмечается с февраля.
"Sofacy использует целевой фишинг и "атаки на водопое" (преднамеренное заражение часто посещаемых сайтов - ИФ) для кражи информации, включая данные учётных записей, конфиденциальные письма и документы. Также группировку подозревают в целевом распространении деструктивного ПО", - добавили в компании.
По данным "Лаборатории Касперского", Sofacy - не единственная шпионская кибергруппа, активная в этих регионах.
"Наблюдаются атаки разных групп на одни и те же цели. Эксперты обнаружили случаи, когда вредоносное ПО Zebracy (одна из разработок Sofacy) боролось за доступ к атакуемому компьютеру с бэкдором Mosquito от Turla (ещё одна русскоязычная хакерская группировка). В некоторых случаях зловред SPLM, также принадлежащий Sofacy, конкурировал с ПО китайскоязычных хакеров Danti", - отметили в "Лаборатории Касперского".
По данным компании, одним из наиболее интригующих стало пересечений русскоязычной хакерской группировкой Sofacy и англоязычной группировкой Lamberts. Следы присутствия Sofacy были обнаружены на сервере, который ранее был идентифицирован как "скомпрометированный инструментами" Grey Lambert. Сервер принадлежит китайскому конгломерату, который работает в сфере аэрокосмических технологий и противовоздушной обороны.
"Sofacy иногда воспринимают как довольно "диких" и отчаянных хакеров. Но, как мы видим, группа может действовать очень прагматично, взвешенно и гибко. Об их активности на Востоке рассказывают мало, но они совершенно точно не единственная группировка с интересами в этом регионе, точнее даже - с интересом к конкретным целям", - заявили в пресс-службе.
Там добавили, что число киберугруппировок увеличивается, поэтому в будущем можно увидеть больше таких "пересечений".
"Этим можно объяснить, почему многие группировки перед тем, как развернуть полномасштабную атаку, проверяют системы своих жертв на следы других вторжений", - отметили в "Лаборатории Касперского".