Раскрыты подробности разрушительной кибератаки на правительство Албании

Раскрыты подробности разрушительной кибератаки на правительство Албании

За атакой стоит политически мотивированный Иран.

image

ИБ-компания Mandiant заявила , что за серией разрушительных кибератак на правительственные службы Албании в середине июля 2022 года стоит злоумышленник, работающий в интересах Ирана . Эта атака представляет собой «географическое расширение иранских подрывных киберопераций». 17 июля правительство Албании временно закрыло доступ к государственным онлайн-сервисам и другим правительственным веб-сайтам из-за масштабной кибератаки.

Атака была проведена с использованием нового семейства программ-вымогателей «ROADSWEEP», которое включало записку о выкупе с текстом: «Почему наши налоги должны быть потрачены на благо террористов DURRES?»

Группировка «HomeLand Justice» взяла на себя ответственность за кибератаку и заявила, что во время атаки использовала вредоносное ПО для очистки данных. По словам Mandiant, албанский пользователь 19 июля добавил образец программы «ZeroClear» в общедоступный репозиторий вредоносных программ.

Эксплоит ZeroClear предназначен для очистки главной загрузочной записи (Master Boot Record, MBR) и разделов диска на компьютерах под управлением Windows. Считается, что это совместные усилия различных иранских правительственных группировок, в том числе OilRig (APT34, ITG13, Helix Kitten).

Также в атаках на Албанию был задействован ранее неизвестный бэкдор «CHIMNEYSWEEP», способный делать снимки экрана, просматривать и собирать файлы, создавать обратную оболочку и поддерживать функции кейлоггинга.

Помимо многочисленных перекрытий кода с ROADSWEEP имплантат доставляется в систему через самораспаковывающийся архив вместе с фиктивными документами Microsoft Word, которые содержат изображения Масуда Раджави, бывшего лидера Организации моджахедов иранского народа (ОМИН).

Связь хакеров с Ираном также обоснована тем, что атаки были совершены менее чем за неделю до Всемирного саммита свободного Ирана 23-24 июля возле портового города Дуррес в Албании, в котором участвовали организации, выступающие против иранского правительства, в частности, члены ОМИН.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!