Sofacy được cho đã cướp đến 900 triệu USD từ các ngân hàng trên toàn cầu - Ảnh: krebsonsecurity

Sofacy (được biết với những cái tên “Fancy Bear”, “Sednit”, “STRONTIUM” và “APT28”) là mối đe dọa cấp cao đến từ Nga hoạt động ít nhất từ năm 2008, phần lớn nhắm vào tổ chức quân đội và chính phủ trên toàn thế giới.

Theo phát hiện từ nhóm chuyên gia nghiên cứu bảo mật toàn cầu của Kaspersky, Sofacy đang sử dụng nhiều kỹ xảo tiên tiến được thiết kế để phục vụ tấn công lâu dài và hoạt động ẩn danh nguy hiểm hơn trên hệ thống mục tiêu.

Chẳng hạn, chúng sử dụng hàng loạt công cụ ngầm để lây nhiễm một mục tiêu, một trong số đó có thể hoạt động như một công cụ tái nhiễm khi một công cụ khác bị giải pháp an ninh chặn lại hoặc xóa sổ.

Hoặc chúng có thể dùng một phần mềm độc hại nhưng thêm nhiều tính năng của công cụ ngầm vào những module riêng biệt nhằm ẩn mình tốt hơn khi tấn công vào mục tiêu, làm tăng xác suất lây nhiễm thành công qua khỏi các hệ thống tường lửa bảo vệ.

Kaspersky Lab nhận thấy đây là xu hướng ngày càng phổ biến trong những cuộc tấn công có mục tiêu.

Ngoài ra trong nhiều cuộc tấn công gần đây, Sofacy đã sử dụng phiên bản lây nhiễm đánh cắp từ các thiết bị USB giúp lấy dữ liệu từ các mạng máy tính an toàn cấp cao air-gapped. Những phiên bản đầu tiên của thế hệ module USB dùng để đánh cắp đã có từ tháng 2-2015 và dường như chỉ tập trung vào mục tiêu cấp cao..

Costin Raiu, giám đốc nhóm nghiên cứu, cho biết: “Trong năm 2015, hoạt động của chúng tăng lên đáng kể, thực hiện không dưới 5 zero-day, khiến cái tên Sofacy trở thành mối đe dọa nhanh nhẹn và năng động nhất trên đấu trường. Chúng tôi có nhiều lý do tin rằng những cuộc tấn công sẽ vẫn tiếp diễn”.