Взлом сети оператора Telenor осуществили индийские хакеры

Взлом сети оператора Telenor осуществили индийские хакеры

Атака проведена в рамках крупномасштабной кибершпионской операции, ранее опробованной на нескольких крупных предприятиях, правительственных и политических организациях в разных странах.

Как отмечают исследователи компании Norman Shark, атаку на компьютерную сеть норвежского оператора Telenor осуществила группа киберпреступников из Индии, которые ранее были замешаны в нападениях на различные государственные и коммерческие структуры в разных странах.

Напомним, что атака на скандинавскую телекоммуникационную компанию началась с рассылки мошеннических писем электронной почты, о которых первыми сообщили сотркдники NorCERT (Norwegian Computer Emergency Response Team).

В ходе расследования атаки, исследователи установили, что в атаке на Telenor принимали участие серверы, связанные с доменными именами и IP-адресами индийского происхождения. Их активность впервые была зафиксирована осенью 2010 года, когда злоумышленники атаковали бизнес, правительственные и политические организации, а также пытались воровать данные, представляющие государственную тайну соседнего с Индией Пакистана. Эти же мощности применялись для атак на промышленные предприятия в США и других странах.

В случае с Telenor хакеры использовали персональные письма с вредоносными вложениями и текстом, подобранным под каждого получателя индивидуально. Здесь же атакующие использовали эксплоиты, работавшие в популярных программах: Windows common controls (CVE-2012-0158), Internet Explorer (CVE-2012-4792), Java (CVE-2012-0422) и другие. Производители соответствующих программ уже достаточно давно устранили эти уязвимости. Норвежские специалисты полагают, что при помощи рассылки разных эксплоитов хакеры просто выявляли, какие из приложений сработают.

Более того, в ходе атаки на Telenor, злоумышленники изменяли вредоносное ПО, точно ориентируя его на своих жертв и подбирая наиболее эффективные методы атаки.

Стоит отметить, что антивирусной компании Eset удалось установить связь атаки на Telenor с нападением на компьютерные системы в Пакистане и других странах, проведенным два года назад. Тогда целью кибератаки являлась кража конфиденциальной информации с зараженных компьютеров – для этого использовались различные способы, включая клавиатурный шпион, модуль снятия скриншотов рабочего стола, модуль передачи документов на внешний сервер и т.д. После успешной атаки все собранные данные отправлялись к злоумышленникам.

При организации этой атаки киберпреступники использовали действующий цифровой сертификат, которым подписывали вредоносные исполняемые файлы. Такая подпись придавала этим файлам большую легитимность. Упомянутый сертификат еще в 2011 году был получен компанией, расположенной в Нью-Дели (Индия). Вредоносное ПО, которое подписывалось этим сертификатом, распространялось через электронную почту.

Киберпреступники маскировали вредоносные файлы под электронные документы с якобы важным содержанием. Специалистами Eset было обнаружено несколько подобных документов, которые, судя по всему, должны были заинтересовать потенциальных жертв. Так, в одном из них использовалась тема индийских вооруженных сил.

Подробнее с отчетом исследователей Norman Shark можно ознакомиться здесь.

Подробнее с описанием уязвимостей можно ознакомиться по адресу:

http://www.securitylab.ru/vulnerability/422990.php

http://www.securitylab.ru/vulnerability/435732.php

http://www.securitylab.ru/vulnerability/436018.php

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться