Російські кіберзлочинці шпигували за європейськими дипломатами, - ESET
"Враховуючи схожість між тактиками, техніками та процедурами, дослідники ESET приписують цю активність російській групі кібершпигунів Turla, яка здебільшого націлена на державні та дипломатичні організації в Європі, Центральній Азії та на Близькому Сході", - йдеться у повідомленні компанії.
Зазначається, що бекдори з назвами LunarWeb та LunarMail зловмисники розгорнули у дипломатичному представництві. Під час іншої атаки LunarWeb розгортався одразу у трьох дипломатичних представництвах європейської країни на Близькому Сході з інтервалом у кілька хвилин.
"Ймовірно, зловмисники мали попередній доступ до контролера домену міністерства закордонних справ і використовували його для подальшого поширення на пристрої пов’язаних установ у тій же мережі", - розповіли в ESET.
За словами фахівців, загроза LunarWeb збирає та перехоплює інформацію із системи, таку як дані про комп’ютер і операційну систему, список запущених процесів, служб і встановлених продуктів з безпеки. Крім цього, інструмент може здійснювати операції з файлами та процесами, а також запускати команди. Під час першого запуску бекдор LunarMail збирає електронні адреси з надісланих електронних повідомлень одержувачів. Також LunarMail може створити новий процес та робити знімки екрана.
"Ми зафіксували різний ступінь складності під час інфікування, наприклад, встановлення на скомпрометованому сервері, щоб уникнути виявлення програмами з безпеки, контрастувало з помилками кодування та різними стилями кодування бекдорів. Це свідчить про те, що в розробці та використанні цих інструментів, ймовірно, брали участь кілька людей", — коментує Філіп Юрчако, дослідник ESET.
Експерти звернули увагу, що LunarWeb, розгорнутий на серверах, використовує HTTP(S) для зв’язку з командним сервером та імітує легітимні запити. Тоді як LunarMail, розгорнутий на робочих станціях, використовує повідомлення електронної пошти для з’єднання. Обидва бекдори використовують техніку, за якої команди приховані в зображеннях, щоб уникнути виявлення.
"Відновлені компоненти, пов’язані з інсталяцією, і активність зловмисників свідчать про те, що початкове інфікування сталося через фішинг і несанкціоноване використання неправильно налаштованого програмного забезпечення для моніторингу мережі та додатків Zabbix. Крім цього, зловмисники уже мали доступ до мережі, використовуючи викрадені облікові дані для подальшого поширення в мережі, та вжили заходів для компрометації сервера, не викликаючи підозр. Під час іншої атаки дослідники ESET виявили старіший шкідливий документ Word, ймовірно, з фішингового листа", - уточнили в ESET.
Варто зазначити, що група Turla, яка також відома як Snake, активна принаймні з 2004 року. Turla, що вважається частиною ФСБ Росії, відома своїми атаками на Міністерство оборони США у 2008 році та швейцарську оборонну компанію RUAG у 2014 році.
Для запобігання подібним атакам та своєчасного виявлення будь-якої шкідливої активності, варто забезпечити потужний кіберзахист організацій, наприклад, за допомогою комплексного рішення ESET PROTECT Elite для запобігання загрозам, їх виявлення та швидкого реагування (XDR).
ESET — експерт у сфері захисту від кіберзлочинності та цифрових загроз, міжнародний розробник рішень з ІТ-безпеки, провідний постачальник у галузі створення технологій виявлення загроз. Заснована у 1992 році, компанія ESET сьогодні має розширену партнерську мережу й представництва в більш ніж 180 країнах світу. Головний офіс компанії знаходиться у Братиславі, Словаччина.
ESET в Україні:
Майже 20 років продукти ESET офіційно представлені на території України. Починаючи з 2005 року, користувачі мають можливість безкоштовно звернутися за допомогою до служби технічної підтримки ESET в Україні, а також пройти курси навчання щодо використання продуктів компанії ESET. Користувачами ESET є найбільші українські та міжнародні компанії та організації.
Гуменюк: Понад 60 російських шахедів в новорічну ніч атакували південь України, більше 50 збиті
