Опубликованы подробности кибератак на подрядчика Минобороны Швейцарии

CERT Швейцарии опубликовала подробности кибератаки, осуществленной на компьютерные системы государственного оборонного холдинга Ruag в мае нынешнего года. Хакерские атаки совпали по времени с проведением экономического форума в Давосе. Как тогда заявил министр обороны Швейцарии Ги Пармелен (Guy Parmelin), речь идет о промышленном шпионаже.

Авторы доклада не раскрывают информацию об объеме похищенных данных, как и о том, кто может стоять за атаками. Согласно отчету, в ходе кампании применялись вредоносное ПО из семейства Turla, а также ряд троянов и руткитов. По данным экспертов, вредоносное ПО присутствовало в системах Ruag по крайней мере с 2014 года.

Согласно отчету, кибератаки на Ruag являлись частью масштабной кампании по кибершпионажу Epic Turla. Атаки, проводимые в рамках данной кампании, можно разделить на несколько групп: целевые рассылки фишинговых писем с PDF-эксплоитами; атаки типа watering hole с применением эксплоитов для уязвимостей в Java, Adobe Flash, Internet Explorer; атаки с применением приемов социальной инженерии.

Проникнув в компьютерную сеть Ruag, атакующие повышали свои привилегии на системах и пытались инфицировать устройства в сети. Основной целью злоумышленников была служба каталогов Microsoft Active Directory, позволяющая взять под контроль другие устройства и получить доступ к представляющим интерес данным. Затем полученная информация передавалась на C&C-серверы, которые, в свою очередь, отправляли новые инструкции на инфицированные устройства.

Для того чтобы избежать обнаружения, злоумышленники создавали внутри зараженной системы сложную сеть каналов взаимодействия, обеспечивающую связь между инфицированными компьютерами.

Авторы отчета умышленно не пытались определить, кто стоит за данными атаками. «Прежде всего, невозможно собрать достаточно улик, подтверждающих подобные обвинения. Во-вторых, нам кажется, что это не имеет значения, поскольку (к сожалению) значительное количество преступников используют вредоносное ПО и несанкционированное проникновение в сеть для достижения своих целей», - пояснили исследователи.