Украденный у АНБ инструмент DarkPulsar использовался в атаках на объекты в РФ

image

Теги: АНБ, DarkPulsar, кибершпионаж

Эксперты «ЛК» выявили порядка 50 жертв DarkPulsar в России, Иране и Египте.

Инструменты Агентства национальной безопасности (АНБ) США, опубликованные группировкой The Shadow Brockers в 2017 году, замечены в кампаниях по шпионажу, направленных на предприятия в области аэрокосмической промышленности, ядерной энергетики, научно-производственной и других сферах.

Речь идет о программах DarkPulsar, DanderSpritz и Fuzzbunch, которые, по данным «Лаборатории Касперского», применялись злоумышленниками для заражения систем на базе Windows Server 2003 и 2008 в России, Иране и Египте.

Фреймворки Fuzzbunch и DanderSpritz содержат наборы плагинов, предназначенных для различных задач: первый отвечает за разведывательную деятельность и атаку жертвы, а второй представляет собой среду для управления скомпрометированными компьютерами. Инструмент DarkPulsar - бэкдор, который при совместном использовании с Fuzzbunch позволяет злоумышленникам получить удаленный доступ к инфицированным компьютерам. Оказавшись на системе, атакующие могут применить DanderSpritz для мониторинга и извлечения данных со скомпрометированной системы.

Эксперты «Лаборатории Касперского» выявили порядка 50 жертв DarkPulsar, но полагают, что в период активного использования фреймворков Fuzzbunch и DanderSpritz пострадавших было значительно больше.

«Найденный Darkpulsar-бэкдор помог понять его роль как моста между двумя фреймворками, и как они использовались в качестве одной атакующей платформы, предназначенной для продолжительных кампаний и основанной на продвинутых возможностях Darkpulsar закрепляться на системе и оставаться незамеченным. Реализация таких возможностей, как внедрение вредоносного трафика в легитимные протоколы, и обход ввода имени пользователя и его пароля при аутентификации, показывает высокий профессионализм авторов», - заключили специалисты.

Более подробно с техническим анализом инструментов можно ознакомиться здесь .

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.