Hammertoss и группировка APT29

Новая вредоносная программа под названием Hammertoss используется для сокрытия хищений данных из зараженных компьютеров. Об этом сказано в отчете компании FireEye, по сведениям которой этот инструмент применяет группа высококвалифицированных хакеров, действующих в интересах российского правительства.

Отличительной особенностью Hammertoss является имитация действий реального пользователя, вплоть до соблюдения графика работы жертвы, поэтому антивирусные программы, ищущие подозрительную деятельность в компьютере, не распознают эту программу.

Hammertoss действует следующим образом, утверждают эксперты FireEye. После попадания в скомпрометированный компьютер программа приступает к выполнению серии повседневных задач. Сначала, используя алгоритм, она ищет сообщения от определенных учетных записей в Twitter, из которых получает инструкции, представленные в виде хэштега и сетевого адреса.

Затем Hammertoss обращается к сервису Github, чтобы загрузить изображение, которое выглядит обычной картинкой, но содержит в коде файла дополнительные инструкции от хакеров. Используя полученную информацию программа начинает закачивать данные с скомпрометированного компьютера в облачное хранилище, где она становится доступной злоумышленникам.

По сведениям FireEye, хакеры используют Hammertoss только для получения доступа к небольшому количеству ценных объектов. В компании не уточнили, против кого конкретно использовалась данная программа, поскольку связаны соглашениями о конфиденциальности со своими клиентами.

Группу хакеров, использующих Hammertoss, в FireEye назвали APT29 (Advanced Persistent Threat 29). Компания утверждает, что инструмент был обнаружен в начале 2015 года, а сама группа действует по крайней мере с конца 2014 года. В отчете отмечается, что АРТ29 считают связанной с российскими властями из-за характера сведений, которые она пытается получить. Кроме того, говорится в документе, группа прекращает свою работу в дни, которые считаются в России праздничными, и активна в рабочее время, совпадающее с часовым поясом UTC+3, в котором находятся Москва и Петербург.

Источник: rbc.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s