Раскрыты подробности деятельности шпионской группы Butterfly

image

Теги: кибератака, шпионаж, компрометация, хакер

По состоянию на июль 2015 года, жертвами группировки стали 49 организаций в 20 странах мира.

ИБ-компания Symantec опубликовала доклад, проливающий свет на деятельность профессиональной хакерской группировки, получившей название Butterfly («Бабочка»), основной специализацией которой является корпоративный шпионаж.

Как указывается в документе, Butterfly – группа высококвалифицированных хакеров, занимающихся корпоративным шпионажем. Команда представляет значительную угрозу для компаний, обладающих большими объемами проприетарной интеллектуальной собственности.

По словам специалистов Symantec, впервые о деятельности Butterfly стало известно в 2013 году. Тогда группировка осуществила кибератаки на ряд крупных технологических компаний, в числе которых Twitter, Facebook, Apple и Microsoft. В ходе кампаний злоумышленники использовали эксплоит для уязвимости нулевого дня в Java с целью инфицирования целевых компьютерных систем.

В конце 2013 года атаки внезапно прекратились, но уже в конце 2014 года Butterfly вновь проявила себя. По состоянию на июль 2015 года, жертвами группировки стали 49 организаций в 20 странах мира.

По данным экспертов, злоумышленники владеют внушительным арсеналом кастомного вредоносного ПО, которое используют наряду с хорошо известными бэкдорами для Mac OS X и Windows.

После проникновения в сеть атакующие компрометируют серверы электронной почты и системы управления содержимым/контентом, что дает им возможность перехватывать электронную переписку и получать доступ к различной документации, описаниям продуктов, а также финансовым записям. Представляющая ценность информация пересылается на принадлежащие Butterfly серверы, после чего злоумышленники выставляют ее на продажу.

Для того, чтобы скрыть свою деятельность, группировка применяет ряд техник, в том числе модифицирует журнал событий, использует фиктивные имена и электронные адреса при регистрации доменов C&C-серверов (при этом ни разу не повторяясь), а также рассчитывается за хостинг-услуги только в биткоинах.

Подробнее с отчетом можно ознакомиться здесь .

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.