Корейская электростанция была атакована вредоносом, удаляющим MBR

Исследователи Trend Micro опубликовали в блоге компании детали атаки на крупную корейскую электростанцию, подвергшуюся кибератаке с использованием вредоноса, удаляющего MBR – данные для загрузки операционной системы, располагающиеся в первых секторах жесткого диска. По их данным, вредоносное ПО инфицировало целевые системы путем эксплуатации уязвимости в приложении Hangul Word Processor, которое повсеместно используется в Южной Корее. Помимо этого, злоумышленники прибегли к методам социального инжиниринга.

Специалисты идентифицировали используемый киберпреступниками вредонос как TROJ_WHAIM.A – обыкновенный вредонос, удаляющий MBR. Помимо своей основной задачи, он также перезаписывает некоторые файлы на целевой системе. Вредонос устанавливается в виде службы, благодаря чему может работать даже после перезагрузки ОС. Более того, он использует имена файлов и папок, а также описания легитимных системных файлов, благодаря чему его становится сложнее обнаружить.

Исследователи отметили, что уже наблюдали подобное поведение вредоносов в прошлом. К примеру, в марте 2013 года неизвестные злоумышленники атаковали сайты нескольких правительственных организаций Южной Кореи, используя аналогичное вредоносное ПО. Более того, в недавней атаке на Sony применялась точно такая же техника.

Во всех трех атаках вредонос перезаписывал MBR, заполняя его определенными строками. В атаке, о которой сообщает Trend Micro, использовалась строка «Who Am I?», в то время как при нападении на Sony хакеры заполнили MBR строкой «0хАААААААА».

Trend Micro не считает, что все три нападения совершила одна и та же киберпреступная группировка. Атаки были хорошо задокументированы и, скорее всего, при совершении последующих нападений хакеры попросту использовали наработки своих коллег.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s