Недавнее вторжение в компьютерную сеть норвежского телекоммуникационного оператора Telenor представляло собой крупномасштабную кибершпионскую операцию, имеющую индийское происхождение и ранее опробованную на нескольких крупных предприятих, правительственных и политических организациях в разных странах. Об этом сегодня рассказали в исследовательской компании Norman Shark. Исследователи из этой компании проанализировали образцы вредоносного софта, использованного во время атак на Telenor. Сама атака началась с рассылки мошеннических электронных писем, отправленных менеджменту Telenor. Изначально о факте фишинговых писем в адрес Telenor сообщила норвежская NorCERT (Norwegian Computer Emergency Response Team). Расследование показало, что с случае с атакой на Telenor применялись методики и коммандно-контрольные серверы, связанные с доменными именами и IP-адресами индийского происхождения, которые активно используются уже почти три года. Впервые отсюда активность была зафиксирована еще в сентябре 2010 года. Атакующие направляли свои усилия на бизнес, правительственные и политические организации, а также пытались воровать данные, представляющие государственную тайну соседнего с Индией Пакистана. Эти же мощности применялись для атак на промышленных предприятия в США и других странах. В случае с Telenor хакеры использовали персональные письма с вредоносными вложениями и текстом, подобранным под каждого получателя индивидуально. Здесь же атакующие использовали эксплоиты, работавшие в популярных программах: Windows common controls (CVE-2012-0158), Internet Explorer (CVE-2012-4792), Java (CVE-2012-0422) и другие. Производители соответствующих программ уже достаточно давно закрыли эти уязвимости. Норвежские специалисты полагают, что при помощи рассылки разных эксплоитов хакеры просто выявляли, какие из приложений сработают. На сегодня точно неизвестно, сколько жертв в Telenor было затронуто в рамках данной кампании, так как исследователи не смогли получить доступа к C&C-серверам, работавшим в интересах хакеров. В Norman говорят, что по крайней мере несколько топ-менеджеров Telenor стали жертвами хакеров, так как на их компьютерах были выявлены следы компрометации. Также авторы расследования обращают внимание на то, что в случае с данной атакой хакеры тюнинговали вредоносное программное обеспечение и точно ориентировали его на своих жертв, работая предельно индивидуально. Norman также удалось исследовать образцы вредоносных программ и был сделан вывод о том, что атакующий софт писали различные разработчики, а к проекту была подключена группа разработчиков, специализирующихся на модульных вредоносах. Сегодня же антивирусная компания Eset сообщила о раскрытии целенаправленной атаки, которая два года использовалась для хищения конфиденциальной информации в Пакистане и ряде других стран. При расследовании инцидента стало известно, что корни этой кибератаки берут начало в Индии. Целью кибератаки являлась кража конфиденциальной информации с зараженных компьютеров – для этого использовались различные способы, включая клавиатурный шпион, модуль снятия скриншотов рабочего стола, модуль передачи документов на внешний сервер и т.д. После успешной атаки все собранные данные отправлялись к злоумышленникам. При организации этой атаки киберпреступники использовали действующий цифровой сертификат, которым подписывали вредоносные исполняемые файлы. Такая подпись придавала этим файлам большую легитимность. Упомянутый сертификат еще в 2011 году был получен компанией, расположенной в Нью-Дели (Индия). Вредоносное ПО, которое подписывалось этим сертификатом, распространялось через электронную почту. Киберпреступники маскировали вредоносные файлы под электронные документы с якобы важным содержанием. Специалистами Eset было обнаружено несколько подобных документов, которые, судя по всему, должны были заинтересовать потенциальных жертв. Так, в одном из них использовалась тема индийских вооруженных сил.
Источник