|
Symantec, популярната компания за доставяне на продукти и услуги в областта на информационната защита, съобщи за регистрирана от тях целенасочена атака към компании от Близкия изток и други държави от петролната, газовата и хелиумната индустрия. Голяма част от компаниите, които са мишена на киберпрестъпниците са от Близкия изток - ОАЕ, Саудитска Арабия, Катар, Кувейт и Оман (повече от половината от атаките), но също така присъстват цели от САЩ, Индия, Индонезия, Камерун, Колумбия, Уганда и Великобритания. Любопитно е, че в атаката се използва сървър, намиращ се в България.Първоначалния етап на атаката включва изпращането на имейл, в който присъства .xls файл, в който присъства зловреден код, определян от Symantec като Trojan Laziok, който се възползва от вече покрита уязвимост в Windows. Малуерът бива използван за инструмент, който запознава атакуващата страна с ред характеристики на системата, като името на компютъра, инсталирания софтуер, количеството памет и размера на дисковото пространство, както и вида на антивирусния софтуер, инсталиран на системата. Въпросната уязвимост е проблем в Windows ActiveX Control. Експлоатирането й позволява дистанционното изпълнение на случаен код. Самата уязвимост е използвана в други високопрофилни атаки, като Red October през 2012 г., след която въпросната уязвимост е била запушена от Microsoft. Използването на експлойт за вече покрита уязвимост е доста нехарактерно за подобен тип атаки, насочени към компании от енергийната индустрия. Обикновено престъпниците използват zero-day уязвимости, които все още не са покрити, което е предпоставка за хората от Symantec да счетат, че кампанията не би трябвало да се счита за особено сложна.
Изображения: Symantec"Групата зад атаката изглежда не е особено добре подготвена, тъй като експлоатират стара уязвимост и използват атаката си, за да разпространяват добре известни заплахи, които са достъпни на подземния пазар", пише Кристиан Трипути от страниците на блога на Symantec. След като Laziok проникне в системата и събере нужната му информация, той или изпраща нужната му информация към команден сървър в очакване на инструкции за следващи действия, или ако малуерът е попаднал на машина, която не би представлявала за хакерите - не върши нищо. Ако жертвата представлява интерес, то малуерът се свързва с команден сървър, а впоследствие бива свалян от сървъри в САЩ, Великобритания и от България допълнително малуер, който е конфигуриран за конкретната машина. Самият малуер е Тrojan.Zbot, а също такае използван и бекдор, познат като Backdoor.Cyberat.Symantec не дават информация за източника на кибершпионската кампания, както и кои са конкретните компании, станали мишена на атаките. |
|
