El grupo de ciberespionaje Sofacy resurge con nuevas herramientas
Sofacy, también conocido como “Fancy Bear”, “Sednit”, “Strontium” y “APT28”, es un grupo de amenazas avanzadas de habla rusa que ha estado activo desde al menos 2008, atacando a entidades en su mayoría militares y gubernamentales de todo el mundo. Desde que apareció en el radar público en 2014, el grupo no ha cesado en sus actividades, si bien los expertos deKaspersky Lab han descubierto nuevas herramientas maliciosas aún más avanzadas en el arsenal de Sofacy.
Según el equipo de análisis en investigación global de Kaspersky Lab, los atacantes que hay detrás de Sofacy utilizan múltiples backdoors para infectar a un objetivo con varias herramientas maliciosas diferentes, una de los cuales sirve como herramienta de reinfección si otra llega a ser bloqueada o eliminada por una solución de seguridad. Además en muchos los ataques realizados este año, el grupo Sofacy hizo uso de una nueva versión de su implante de robo USB, lo que le permite copiar datos de los equipos comprometidos.
Los atacantes también utilizan modularización del malware, poniendo algunas prestaciones de los backdoors en módulos separados para ocultar mejor la actividad maliciosa en el sistema atacado. Esta es una tendencia cada vez más popular que Kaspersky Lab ha detectado en los ataques dirigidos.
«Por lo general, cuando alguien publica una investigación sobre un grupo de ciberespionaje, el grupo reacciona, bien deteniendo su actividad bien cambiando drásticamente sus tácticas y estrategia. Con Sofacy, no ha sido el caso. Le hemos visto lanzando ataques desde hace varios años y su actividad ha sido documentada por la comunidad de seguridad varias veces. En 2015 su actividad se incrementó significativamente, con el despliegue de no menos de cinco ataques de día cero, haciendo de Sofacy uno de los autores de amenazas más prolíficos, ágiles y dinámicos de la actualidad. Tenemos razones para creer que estos ataques continuarán», explica Costin Raiu, director de investigación y análisis global de Kaspersky Lab.
Fuente: http://cso.computerworld.es/
Fecha de consulta: 08 Diciembre 2015