- Sofacy - nhóm gián điệp khét tiếng đến từ Nga đang manh nha trở lại, đây là cảnh báo được Nhóm Nghiên cứu và Phân tích toàn cầu Kaspersky Lab đưa ra mới đây. 
Kể từ năm 2008 cho đến nay, nhóm gián điệp này chưa từng có ý định dừng lại và thời gian gần đây chúng có nhiều công cụ mới, cao cấp hơn. Cụ thể, kẻ tấn công sử dụng hàng loạt các công cụ ngầm để lây nhiễm một mục tiêu mới với nhiều công cụ độc hại khác nhau như một công cụ tái nhễm khi một công cụ khác bị giải pháp an ninh chặn lại.
Hoặc chúng dùng đơn bộ hóa phần mềm độc hại để thêm nhiều tính năng cho các công cụ ngầm nhằm vào những module riêng biệt; Sử dụng hệ thống air-gapped để lây nhiễm đánh cắp từ USB, cho phép chúng sao chép dữ liệu từ máy tính trong hệ thống air-papped...
Được biết, năm 2015 cũng là năm tấn công của Sofacy bằng cách thâm nhập vào thiết bị và tải xuống nhiều công cụ độc hại bổ sung.
Kaspersky Lab đã chặn phần mềm độc hại, tuy nhiên chỉ 1 giờ sau khi chặn trojan, một phiên bản khác đã được kẻ tấn công tạo ra và cài vào PC mục tiêu. Phiên bản này trốn công nghệ AV thông thường, nhưng vẫn bị phát hiện bởi hệ thống phụ phòng chống xâm nhập máy chủ (HIPS).
Trojan “msdeltemp.dll” là công cụ download cho phép tin tặc gửi lệnh và lấy dữ liệu từ máy bị lây nhiễm, cũng được dùng để tải trojan tinh vi hơn vào hệ thống. Nếu trojan thứ yếu bị phần mềm an ninh chặn lại, tin tặc vẫn có thể sử dụng trojan msdeltemp.dll để lấy phiên bản mới từ C&C và cài đặt lại trên máy bị tấn công.
Ngoài việc thay đổi phương thức phục hồi, các chuyên gia Kaspersky Lab còn phát hiện ra nhiều phiên bản module USB dùng để đánh cắp của Sofacy giúp lấy dữ liệu từ mạng air-gapped. Module USBSTEALER được thiết kế tùy thuộc vào quy luật mà kẻ tấn công đưa vào để theo dõi ổ đĩa di động và lấy cắp file từ chúng. Dữ liệu bị đánh cắp được sao chép vào thư mục ẩn, sau đó kẻ tấn công sẽ lấy nó ra nhờ các phiên bản của AZZY. Những phiên bản đầu tiên của thế hệ module USB dùng để đánh cắp đã có từ tháng 2/2015 và dường như chỉ tập trung vào các mục tiêu cấp cao.
Costin Raiu, Giám đốc GReAT Team, Kaspersky Lab cho biết: “Thông thường, khi ai đó công bố nghiên cứu về một nhóm gián điệp mạng, chúng sẽ phản ứng lại bằng cách dừng lại hoặc thay đổi phương thức và chiến thuật. Nhưng với Sofacy thì không phải lúc nào cũng như vậy. Chúng tấn công dồn dập trong nhiều năm liền và hoạt động của chúng cũng bị cộng đồng bảo mật phát hiện rất nhiều lần. Chỉ riêng năm 2015, cái tên Sofacy trở thành mối đe dọa hàng đầu trên đấu trường chống phần mềm gián điệp. Và chúng tôi có nhiều lí do để khẳng định rằng cuộc tấn công sẽ chưa dừng lại”.
