Киберпреступники маскируются под «русских» хакеров

Вредоносное ПО, примененное в недавних кибератаках на польские банки, содержит подложные доказательства, указывающее на то, что атаки были осуществлены якобы русскоговорящими хакерами. К такому выводу пришли эксперты компании BAE Systems Сергей Шевченко и Адриан Ниш (Adrian Nish) по итогам анализа.

Исследованный специалистами образец вредоносного ПО содержал большое количество исковерканных русских слов, которые никогда не используются нативными носителями русского языка. Как показал анализ, вирусописатели использовали сервисы online-перевода, такие как Google Translate, для перевода слов с английского на русский. По словам Шевченко, тот, кто переводил текст, никогда не имел дела с русским языком, поэтому не обратил внимания на разницу в фонетическом написании.

В частности, при переводе английского слова «client» вирусописатель использовал его фонетическое написание («kliyent»), вместо «client» или «klient». Кроме того, команды также переводились с помощью online-переводчиков. Например, команда «установить» была написана как «ustanavlivat», команда «выйти» как «vykhodit» и так далее.

Подобные ошибки были обнаружены не только во вредоносном ПО, но и в кастомном эксплоит-ките, использовавшемся для доставки вредоноса на компьютеры жертв.

В начале февраля текущего года стало известно о масштабной кибератаке на финансовый сектор Польши, в результате которой пострадали порядка 20 коммерческих банков страны. Несколько дней спустя специалисты Symantec сообщили о волне кибератак, направленных на организации по всему миру, в том числе польские банки. Как полагают эксперты, методы и инструменты, используемые в атаках, имеют сходные характеристики с кибергруппировкой Lazarus, подозреваемой в атаках на финансовую систему SWIFT.