Российские военные стали целью кибератаки

Компания Proofpoint сообщила о фишинговой атаке, целью которой стали российские военнослужащие, телекоммуникационные компании, а вместе с ними и русскоязычные финансовые аналитики, исследующие телеком-рынок по заказу глобальных финансовых корпораций. Пока неясно, спонсируют ли кампанию спецслужбы или же кибергруппировка просто пытается собрать ценную информацию и продать ее разведке.

Военные примерно с середины лета начали получать весьма качественно выполненные фишинговые сообщения, создатели которых используют инструменты на китайском языке и располагают командные сервера в Китае. Возможно, за атакой стоят те же хакеры, которые пытались скомпрометировать военные организации в Центральной Азии в недалеком прошлом.

Хотя трудно утверждать наверняка, что следы злоумышленников ведут в Китай, активное использование китайского языка в программировании и хостинг C&C-серверов на подконтрольных Китаю территориях позволяют предполагать, что это вполне возможно, считают в Proofpoint. В то же время существует вероятность, что злоумышленники пытаются «подставить» Китай и отвести таким образом подозрение.

«Вне зависимости от природы заказчиков кампании перед атакующими все равно открываются заманчивые возможности: секретные данные — товар, всегда востребованный на рынке, — заявил Кевин Эпштейн (Kevin Epstein), вице-президент Proofpoint по кибероперациям. — Известно о случаях, когда злоумышленники, сумевшие собрать данные военных учреждений, весьма успешно продавали эту информацию государственным разведслужбам».

Атака работает следующим образом: в адрес жертвы приходит электронное сообщение, написанное на грамотном русском языке, якобы от коллеги по ведомству. К письму прилагается Word-документ со статьей об истории тестирования военной техники в России. Статья является отвлекающим маневром. Текст довольно интересный, но с закрытием документа запускается макрос, активирующий эксплойт к CVE-2012-0158 для загрузки PlugX, популярного у spear-фишеров RAT-троянца.

Злоумышленники тщательно подошли к выбору тем для фишинговых сообщений: например, в теме сообщения, посылаемого телеком-аналитику, указано «Проект бизнес-плана», а к мейлу приложен документ LTE-2600.doc. После закрытия подложного документа хакер получает доступ к содержимому компьютера. Используемые в кампании вредоносные сайты очень правдоподобно маскируются под известные ресурсы: tvzvezda[.]net, arms-expo[.]net, patriotp[.]com.

«Антивирусы не видят вирус в документе, так как вируса там попросту нет, — говорит Эпштейн. — То, что вредоносный файл запускается при закрытии документа, — известная техника побега из сэндбокса, так как большинство «песочниц» проверяют файл при открытии, а не при закрытии».

Как признался Эпштейн, русскоязычные сотрудники Proofpoint подтвердили, что фишинговые сообщения очень правдоподобны и что они сами без предупреждения вполне могли бы кликнуть на них. Немудрено, что такие сообщения не вызывают подозрений у неподготовленных пользователей.

Источник: threatpost.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s