Группировка Waterbug скомпрометировала компьютерные системы более 100 государств

image

Теги: Symantec, отчет, взлом, фишинг, компрометация

Преступники использовали таргетированный фишинг и собственную сеть из 84 скомпрометированных сайтов.

Специалисты Symantec опубликовали отчет об опасной киберпреступной группировке, которая получила псевдоним "Waterbug". По словам экспертов, хакеры неоднократно осуществляли кампании по кибершпионажу, используя вредоносное ПО Turla (также известное как Snake и Uroboros) и Epic Turla (также известное как Wipbot или Tavdig).

Группировка начала осуществлять преступления в 2005 году. Она стала известна публике три года спустя после атаки на сеть военных сил США с применением вредоносного ПО Agent.BTZ.

По данным Symantec, хакеры успешно скомпрометировали более 4,5 тысяч систем в 100 странах. Взлому подвергались сети правительственных ведомств, исследовательские и образовательные учреждений, посольств и прочих высокопрофильных организаций.

Группировка использует два способа инфицирования жертв вредоносным ПО: таргетированный фишинг с вредоносными вложениями и сеть из 84 скомпрометированных сайтов, распространяющих вредоносы.

В одной из фишинговых кампаний, обнаруженных в декабре 2013 года, преступники использовали вредоносный PDF-документ, эксплуатирующий уязвимость нулевого дня в Adobe Reader и брешь в Windows для загрузки Trojan.Wipbot.

Сеть распространения вредоносного ПО, получившая название Venon, используется для осуществления атак "watering hole", нацеленных на конкретных жертв. Скомпрометированные web-сайты находятся в разных странах. Злоумышленники следят за их посетителями и, если на ресурс заходила интересующая их жертва, осуществляли дальнейшие атаки.

Скомпрометированные ресурсы размещались во Франции, Германии, Румынии и Испании. Примерно половина сайтов принадлежала правительственным организациям и СМИ. Все они использовали систему управления контента TYPO3 и размещались в одном и том же блоке сети.

Злоумышленники также распространяли троян Turla, с помощью которого осуществлялся сбор данных с инфицированных компьютеров. За время наблюдения было обнаружено четыре модификации Turla: SAV, FA, ComRAT и Carbon.

С отчетом Symantec можно ознакомиться здесь .

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus