Вайпер No-Justice массово выводит из строя албанские компьютеры

В последнее время албанские организации столкнулись с затяжной серией кибератак. Ответственность за это возложена на иранскую группировку «Homeland Justice», активную с июля 2022 года. Эти атаки характеризуются использованием вредоносного программного обеспечения «No-Justice», представляющего собой вайпер данных.

Вредонос способен вывести из строя операционную систему Windows на заражённом компьютере таким образом, что её повторный запуск становится невозможным. Как сообщает израильская ИБ-компания ClearSky, вредоносная программа No-Justice (NACL.exe) является исполняемым файлом размером около 220 КБ, требующим прав администратора для стирания данных на компьютере. Программа работает путём удаления загрузочной сигнатуры из главной загрузочной записи компьютера (MBR), что делает невозможным последующую загрузку операционной системы.

24 декабря 2023 года хакеры из «Homeland Justice» заявили о возобновлении своей деятельности, объявив о кампании #DestroyDurresMilitaryCamp против военного лагеря в албанском городе Дуррес, где находится оппозиционная иранская группировка Народные Моджахеды Ирана (MEK).

Среди целей атак оказались такие организации, как ONE Albania, Eagle Mobile Albania, Air Albania и даже албанский парламент. Атаки осуществлялись с использованием исполняемого вайпера и PowerShell-скрипта для распространения вредоноса по сетям целевых организаций.

В ходе атак также использовались и легитимные инструменты, такие как PuTTY Link, RevSocks и даже Windows 2000 Resource Kit для проведения разведки, бокового перемещения и обеспечения постоянного удалённого доступа.

Кибератаки на албанские организации привлекают внимание в контексте усилившейся напряжённости на Ближнем Востоке, где иранские группы хакеров, такие как Cyber Av3ngers, Cyber Toufan, Haghjoyan и YareGomnam Team, всё чаще нацеливаются на Израиль и США. По данным компании Check Point, такие группы, как Cyber Av3ngers и Cyber Toufan, довольно тесно сотрудничают между собой .

Кевин Бомонт, исследователь в области безопасности, отмечает : «Эти атаки причинили такой ущерб, что многие организации — почти треть — так и не смогли восстановиться. Некоторые из них до сих пор полностью отключены, а среди жертв — как частные компании, так и государственные учреждения».