Dell SecureWorks рассказала о хакерской атаке на 200 компьютеров правительственных организаций

На конференции RSA представители Dell SecureWorks рассказали о хакерской атаке, в результате которой были скомпрометированы 200 компьютеров, принадлежащих правительственным министерствам Вьетнама, Брунея и Республике Мьянма. Целью атак был шпионаж.

Помимо правительственных организаций, жертвами атак также стали компьютерные системы некоторых изданий, а также некоторые нефтяные компании.

По словам представителей Dell SecureWorks, для осуществления атак хакеры использовали вредоносные программы, которые применялись в ходе нападений на компанию EMC в 2011 году, а также бэкдор GhostNet.

При проведении атак хакеры чаще всего использовали такие вредоносные программы, как Enfal и RegSubsDat. Последняя была впервые обнаружена еще в 2009 году. В период с 2004 по 2011 год, неизвестная личность, владеющая адресом электронной почты jeno_1980@hotmail.com, зарегистрировала несколько доменных имен, используя имена Tawnya Grilth и Eric Charles. Все домены, зарегистрированные на имя Tawnya Grilth, значились за лицом якобы проживающим по определенному адресу в выдуманном городе Sin Digoo, California.

В период с 2006 по 2007 год некоторые домены, зарегистрированные на jeno_1980@hotmail.com под именем Tawnya Grilth, стали появляться в отчетах, опубликованных автоматическими системами, которые анализируют вредоносную активность в Интернет. После проведенного Dell SecureWorks анализа было установлено, что эти домены использовались для многих атак, связанных со шпионажем.

Руководитель исследования вредоносных программ Dell SecureWorks Джо Стюарт (Joe Stewart) отметил, что для проведения атак хакерам требовалось привлечь на свою сторону сотрудника компании-жертвы.

Проведенный Dell SecureWorks анализ показал, что выше упомянутый адрес электронной почты также использовался для регистрации web-сайта socialup.com, который предлагал услуги поисковой оптимизации (SEO).

Более подробно с отчетом Dell SecureWorks можно ознакомиться здесь.