Эксперты ЛК рассказали об Operation Ghoul – целевых атаках на промышленные предприятия

Исследователи «Лаборатории Касперского» обнаружили серию целевых атак на промышленные предприятия, находящиеся преимущественно в странах Ближнего и Среднего Востока. В ходе кампании, получившей название Operation Ghoul, злоумышленники атаковали 130 организаций в 30 странах мира с целью похищения конфиденциальных корпоративных и финансовых данных.

70% атак пришлось на Объединенные Арабские Эмираты, остальные – на Индию, Германию, Великобританию, Испанию (пострадала больше всех – 25 атакованных предприятий) и др. Как отметили исследователи, кампания не отличается большой сложностью в техническом плане (злоумышленники используют только один C&C-сервер), однако это не делает ее менее опасной.

«В отличие от спонсируемых правительством хакеров, которые очень тщательно выбирают свои цели, эта и другие подобные группы могут атаковать любую компанию. Несмотря на использование простых инструментов, эти атаки очень эффективны, и компании, не готовые к обнаружению подобных инцидентов, наверняка станут их жертвами», - сообщил эксперт ЛК Мохамад Амид Хасбини (Mohamad Amin Hasbini).

Атака начинается с получения жертвой фишингового письма с прикрепленным 7z-файлом. После его открытия запускается вредоносное ПО, способное похищать логины и пароли, делать скриншоты и записывать нажатия клавиш на клавиатуре. Все полученные данные отправляются на подконтрольный злоумышленникам C&C-сервер. В некоторых случаях в фишинговых письмах содержалась вредоносная ссылка.

Вредоносное ПО, созданное на базе коммерческого инструмента для шпионажа HawkEye, также может похищать учетные данные для доступа к FTP-серверам, данные учетных записей из браузеров, мессенджеров и почтовых клиентов, а также информацию из буфера обмена.

Самые последние атаки начались 8 и 27 июня нынешнего года, однако, по словам экспертов, Operation Ghoul берет свое начало еще в марте 2015 года.