Российские производители вооружений подверглись массированной хакерской атаке

Безопасность Администратору Пользователю
мобильная версия
, Текст: Сергей Попсулин

Хакеры атаковали российских разработчиков оружия, борцов за права человека и общественные организации в России. Хакерская кампания длится с начала 2016 г. До этого ее организаторы уже нападали на ПК российских вооруженных сил.


Цели новой атаки

Целями новой кибератаки вида APT (Advanced Persistent Threat — целенаправленная атака повышенной сложности) стали производители оружия, борцы за права человека и различные общественные организации в России и в нескольких близлежащих странах (Монголии, Белоруссии) и в нескольких европейских государствах, сообщает компания Proofpoint, специализирующаяся на информационной безопасности. По словам специалистов, атакующие действуют из Китая или, по крайней мере, создают такую видимость. Они также добавили, что атака продолжается с начала 2016 г. 

Использование архива RAR

Заражение компьютеров жертв выполняется путем рассылки сообщений электронной почты с вредоносными ссылками или вложениями.

Накануне рассылки хакеры изучают новости в сфере вооружений, военных учений, геополитики, ядерных вооружений и других близких тем. Затем, на основе наиболее актуальных событий, они формируют RAR-архив, содержащий исполняемый файл SCR с актуальным названием. Далее этот архив помещается на поддельных новостных сайтах. 

Например, в одном из случаев ссылка в письме имела следующий формат: www.info-spb[.]com/analiz/voennye_kommentaria/n148584.rar. А архив n148584.rar содержал исполняемый файл «Нападение на американские космические системы очень дорого обойдется.scr». 

Вот еще несколько примеров имен файлов: «Сервисное обслуживание и ремонт военной техники связи.scr», «Текст приветствия Главы государства.scr», «Пятнадцатое заседание Коллегии Евразийской экономической комиссии.scr», «Совместное антитеррористическое учение «Антитеррор-2016».scr» и «Изменения в списке аффилированных лиц по состоянию на 20.04.2016 г.scr».

После запуска файла в систему устанавливается вредоносное приложение под названием NetTraveler (или TravNet).

Пример вредоносного файла Word, прикрепляемого к письму

Использование уязвимости в Office

В ряде случаев вместо ссылки злоумышленники прикрепляют к письму файл, например, с именем «Новый щит и новый меч Вооруженные Силы России и США.doc». Он действительно представляет собой документ Microsoft Word и содержит текст на упомянутую тему. В действительности же файл позволяет злоумышленникам с помощью уязвимости в Microsoft Office под номером CVE-2012-0158 также установить в систему жертвы приложение NetTraveler.

После того как злоумышленники получают с помощью NetTraveler доступ к системе, они могут изучать хранящиеся на компьютерах файлы, читать электронную почту и другими способами собирать интересующую их информацию.

Другие кампании

По словам специалистов Proofpoint, впервые вредоносное приложение NetTraveler было обнаружено в 2004 г. С тех пор оно используется время от времени. 

При этом аналитики добавили, что организаторы нынешней атаки — те же лица, которые в 2015 г. в течение нескольких месяцев проводили APT-атаку на вооруженные силы и телекоммуникационные компании в России, а также на русскоговорящих финансовых аналитиков, работающих на мировые компании. 

Исследователи указали, что в нынешней атаке организаторы используют те же приемы и методы, что были использованы в прошлом году, при этом вредоносное приложение на этот раз новое. До этого хакеры использовали троян PlugX.