Proofpoint: Российские военные стали жертвами вредоносной кампании

image

Теги: Россия, Китай, кибератака

Атаки предположительно осуществлялись китайскими хакерами.

Как сообщается в отчете ИБ-компании Proofpoint, российские военные стали жертвами вредоносной кампании. Начиная с июля нынешнего года, пострадавшие получали фишинговые письма, почти неотличимые от оригинальных. Помимо членов ВС РФ, атака также затронула российских операторов сотовой связи.

Специалисты считают, что вредоносная кампания осуществлялась китайскими киберпреступниками. «Всегда сложно установить точную государственную принадлежность хакеров, но в данном случае злоумышленники использовали китайское ПО, а их C&C-серверы размещены в подконтрольных Китаю зонах», – заявил вице-президент центра Proofpoint по борьбе с киберугрозами Кевин Эпштейн (Kevin Epstein).

Наиболее очевидный вариант предполагает непосредственное участие китайских хакеров. Тем не менее, нельзя исключать возможность того, что атака могла быть осуществлена сторонними злоумышленниками, пытающимися выставить китайцев в нелицеприятном свете. К организации кампании могли быть причастны правительственные агенты или частные структуры, пытающиеся продать данные военной разведки.

Эпштейн пояснил, что на черном рынке существует большой спрос на засекреченные данные. В прошлом не поддерживаемые государством хакеры уже взламывали разные правительственные учреждения, а затем продавали похищенные данные другим странам.

Атака начинается с того, что жертве приходит электронное письмо на русском языке якобы от коллеги или аналитика из военного управления. К сообщению прикреплен документ Word, в котором содержится статья об истории военных испытаний в России. Этот документ является приманкой – при его закрытии активируется сценарий, загружающий на ПК жертвы вредоносное ПО. Отметим, что активация сценария при закрытии документа является распространенной практикой по обходу антивирусной защиты и «песочниц», поскольку защитное ПО обычно проверяет документы на наличие активирующихся при запуске сценариев.

Загруженное вредоносное ПО получает полный контроль над компьютером и собирает все хранящиеся на нем данные. Помимо этого, любые открытые жертвой сетевые документы будут переданы на сервер хакеров.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.