Bei Sofacy – auch bekannt als „APT28“, „Fancy Bear“, „Sednit“ oder „STRONTIUM – handelt es sich um eine russischsprachige APT-Gruppe (Advanced Persistent Threat), die seit mindestens 2008 aktiv ist und vor allem militärische und staatliche Einrichtungen weltweit im Visier hat. Die Gruppe ist seit dem Jahr 2014 öffentlich bekannt und nach wie vor aktiv. Darüber hinaus entdeckten die Experten von Kaspersky Lab neue noch fortschrittlichere Werkzeuge im Angriffsarsenal von Sofacy, mit folgenden Eigenschaften:

•    Austauschbar: Die Angreifer nutzen mehrere Backdoor-Programme, mit denen sie ein Zielobjekt mit verschiedenen maliziösen Tools infizieren können; eines davon dient als Wiederinfizierungs-Werkzeug, wenn ein anderes Tool von einer Sicherheitslösung blockiert oder entfernt wird.
•    Modular: Die Angreifer nutzen Malware-Modularisierungen, indem sie einige Funktionen der Backdoor-Programme in verschiedene Module integrieren. So können sie ihre böswilligen Aktivitäten im attackierten System besser verschleiern – ein neuer beliebter Trend, der bei zielgerichteten Angriffen laut Kaspersky Lab regelmäßig zu beobachten ist.
•    „Air-gaps“: Bei zahlreichen aktuellen Attacken aus dem Jahr 2015 nutzte die Sofacy-Gruppe eine neue Version seiner USB-Stealer-Implantate. So können Daten sogar von Computern entwendet werden, die nicht am Netz hängen. Solche Computer werden als „air-gapped“ bezeichnet.

„Sobald Forschungsergebnisse über eine bestimmte Cyberspionage-Gruppe öffentlich werden, reagiert die betroffene Gruppe normalerweise darauf. Sie stellt ihre Aktivität ein oder ändert ihre Taktik beziehungsweise Strategie“, erklärt Costin Raiu, Director of Global Research and Analysis Team bei Kaspersky Lab. „Bei Sofacy stellen wir diese Reaktion nicht immer fest. Die Gruppe führt seit einigen Jahren Angriffe durch und ihre Aktivitäten wurden regelmäßig von der Security-Community öffentlich gemacht. Seit 2015 stiegen ihre Aktivitäten signifikant an. Sie nutzen nicht weniger als fünf Zero-Days und gehören somit zum derzeit profiliertesten, agilsten und dynamischsten Bedrohungsakteur der Szene. Außer unserer Sicht wird es zu weiteren Angriffe kommen.“

Organisationen können sich gegen APT-Attacken wie Sofacy schützen, indem sie einen mehrschichtigen Sicherheitsansatz mit traditionelle Anti-Malware-Technologien, Patch Management, Host Intrustion Detection-Technologien sowie Whitelisting und Default-Deny-Strategien kombinieren. (rhh)

Hier geht es zu den Lösungen der Kaspersky Labs gegen Sofacy