Украденный у АНБ инструмент DarkPulsar использовался в атаках на объекты в РФ
22.10.2018
Инструменты Агентства национальной безопасности (АНБ) США, опубликованные группировкой The Shadow Brockers в 2017 году, замечены в кампаниях по шпионажу, направленных на предприятия в области аэрокосмической промышленности, ядерной энергетики, научно-производственной и других сферах.
Речь идет о программах DarkPulsar, DanderSpritz и Fuzzbunch, которые, по данным "Лаборатории Касперского", применялись злоумышленниками для заражения систем на базе Windows Server 2003 и 2008 в России, Иране и Египте.
Фреймворки Fuzzbunch и DanderSpritz содержат наборы плагинов, предназначенных для различных задач: первый отвечает за разведывательную деятельность и атаку жертвы, а второй представляет собой среду для управления скомпрометированными компьютерами. Инструмент DarkPulsar - бэкдор, который при совместном использовании с Fuzzbunch позволяет злоумышленникам получить удаленный доступ к инфицированным компьютерам. Оказавшись на системе, атакующие могут применить DanderSpritz для мониторинга и извлечения данных со скомпрометированной системы.
Эксперты "Лаборатории Касперского" выявили порядка 50 жертв DarkPulsar, но полагают, что в период активного использования фреймворков Fuzzbunch и DanderSpritz пострадавших было значительно больше.
"Найденный Darkpulsar-бэкдор помог понять его роль как моста между двумя фреймворками, и как они использовались в качестве одной атакующей платформы, предназначенной для продолжительных кампаний и основанной на продвинутых возможностях Darkpulsar закрепляться на системе и оставаться незамеченным. Реализация таких возможностей, как внедрение вредоносного трафика в легитимные протоколы, и обход ввода имени пользователя и его пароля при аутентификации, показывает высокий профессионализм авторов", - заключили специалисты.
Более подробно с техническим анализом инструментов можно ознакомиться здесь.
