Российские производители вооружений подверглись массированной хакерской атаке

Российские производители вооружений подверглись массированной хакерской атаке

Хакеры атаковали российских разработчиков оружия, борцов за права человека и общественные организации в России. Хакерская кампания длится с начала 2016 г. До этого ее организаторы уже нападали на ПК российских вооруженных сил.

Цели новой атаки

Целями новой кибератаки вида APT (Advanced Persistent Threat — целенаправленная атака повышенной сложности) стали производители оружия, борцы за права человека и различные общественные организации в России и в нескольких близлежащих странах (Монголии, Белоруссии) и в нескольких европейских государствах, сообщает компания Proofpoint, специализирующаяся на информационной безопасности. По словам специалистов, атакующие действуют из Китая или, по крайней мере, создают такую видимость. Они также добавили, что атака продолжается с начала 2016 г.

Использование архива RAR

Заражение компьютеров жертв выполняется путем рассылки сообщений электронной почты с вредоносными ссылками или вложениями.

Накануне рассылки хакеры изучают новости в сфере вооружений, военных учений, геополитики, ядерных вооружений и других близких тем. Затем, на основе наиболее актуальных событий, они формируют RAR-архив, содержащий исполняемый файл SCR с актуальным названием. Далее этот архив помещается на поддельных новостных сайтах.

Например, в одном из случаев ссылка в письме имела следующий формат: www.info-spb[.]com/analiz/voennye_kommentaria/n148584.rarА. архив n148584.rar содержал исполняемый файл "Нападение на американские космические системы очень дорого обойдется.scr".

Вот еще несколько примеров имен файлов: "Сервисное обслуживание и ремонт военной техники связи.scr", "Текст приветствия Главы государства.scr", "Пятнадцатое заседание Коллегии Евразийской экономической комиссии.scr", "Совместное антитеррористическое учение "Антитеррор-2016".scr" и "Изменения в списке аффилированных лиц по состоянию на 20.04.2016 г.scr".

После запуска файла в систему устанавливается вредоносное приложение под названием NetTraveler (или TravNet).

Использование уязвимости в Office

В ряде случаев вместо ссылки злоумышленники прикрепляют к письму файл, например, с именем "Новый щит и новый меч Вооруженные Силы России и США.doc". Он действительно представляет собой документ Microsoft Word и содержит текст на упомянутую тему. В действительности же файл позволяет злоумышленникам с помощью уязвимости в Microsoft Office под номером CVE-2012-0158 также установить в систему жертвы приложение NetTraveler.

После того как злоумышленники получают с помощью NetTraveler доступ к системе, они могут изучать хранящиеся на компьютерах файлы, читать электронную почту и другими способами собирать интересующую их информацию.

Cnews