Алматы. 10 марта. КазТАГ — Русскоязычные хакеры Sofacy в последнее время стали чаще атаковать азиатские организации, рассказал ведущий антивирусный эксперт «Лаборатории Касперского» Курт Баумгартнер.
«Хакерская группировка Sofacy также известна под именами APT28 и Fancy Bear. Это одна из самых активных кибершпионских группировок в мире. Sofacy использует для кражи информации целевой фишинг и «атаки на водопое» (заражение вредоносным программным обеспечением часто посещаемых потенциальными жертвами сайтов), также группировку подозревают в целевом распространении деструктивного ПО. Интерес Sofacy постепенно смещается от связанных с НАТО мишеней к целям в странах Центральной и Восточной Азии. Среди атакуемых хакерами Sofacy стран — Казахстан, Армения, Турция, Таджикистан, Афганистан, Монголия, Китай и Япония», — привел ТАСС слова К. Баумгартнера в ходе Security Analyst Summit (SAS 2018), который проходит в Мексике.
По данным «Лаборатории Касперского», при этом особенный интерес у группировки вызывают военные и дипломатические ведомства.
Как отмечает эксперт, Sofacy — не единственная шпионская кибергруппа, активная в Азии. Иногда разные группировки хакеров атакуют одни и те же цели. Так, например, вредоносное ПО Zebracy (одна из разработок Sofacy) боролось за доступ к атакуемому компьютеру с бэкдором Mosquito от Turla (еще одна русскоязычная хакерская группировка). Также один принадлежащий Sofacy зловред — SPLM — конкурировал с ПО китайскоязычных хакеров Danti.
Кроме того, эксперты обнаружили пересечение между Sofacy и англоязычной группировкой Lamberts. К. Баумгартнер отметил, что следы присутствия Sofacy были обнаружены на сервере, который ранее был идентифицирован как скомпрометированный инструментами Grey Lambert. Этот сервер принадлежит китайскому конгломерату, который работает в сфере аэрокосмических технологий и противовоздушной обороны.