Pawn Storm: Украина, НАТО и США под прицелом российских хакеров

Операция Pawn Storm, ответственная за атаки против правительственных организаций и учреждений из оборонного сектора по всему миру становится все более активной. В настоящее время среди ее целей  числятся страны-члены НАТО и Белый Дом.

Pawn Storm- активная экономическая и политическая шпионская операция, которая проводится с помощью Интернета. За этой операцией стоит группа специалистов, которая с помощью нескольких соединенных друг с другом инструментов атакует выбранную цель, так же, как это имеет место в случае шахматной стратегии с одноименным названием.

Feike Hacquebord, исследователь из компании Trend Micro, пишет в блоге: „Деятельность этой группы хакеров была замечены, по крайней мере с 2007 года. Группа использует три полноценных сценария атаки: первый это spear phishing, этот сценарий предполагает отправку поддельных сообщений, содержащих документы Microsoft Office с внедренным вредоносным ПО SEDNIT/Sofacy. Второй сценарий предусматривал использование специально подготовленных эксплойтов нападения на веб-сайты правительства стран, членов ЕС. Третья часть атаки включала отправку фишинговых писем, которые перенаправляют на поддельные страницы входа в систему портала Outlook Web Access. Атаки кампании Pawn Storm были направлены против военных, правительства и медиа-организаций в США и стран союзников. Мы также выяснили, что группа атаковала также российских диссидентов и оппозиционеров Кремля, украинских активистов и военные организации Украины .  Учитывая цели, можно предположить, что атаки могут быть связан российским правительством”.

Новые серверы управления, новые фишинговые кампании

В первом квартале текущего года наблюдалось повышение активности этой группы. Появилось несколько новых URL-адресов, содержащих вредоносные программное обеспечение, а также новые серверы управления бот-сетями. Они атаковали правительственные учреждения (в том числе стран-членов НАТО) в Европе, Азии и на Ближнем Востоке. Акция началась с кампании вредоносного ПО, в которой отправляли сообщения, связанные со строительством южного газопровода, который должен сделать независимыми страны ЕС от российского газа, а также сообщения на тему военного конфликта Россия-Украина.

Feike Hacquebord сообщает, что в сообщении находится ссылка на страницу, на которой специальный скрипт анализирует ваш браузер и операционную систему, в том числе часовой пояса и установленные плагины. Когда проверка пройдена, сервер посылал сообщение, уведомляющее о необходимости установки плагина HTML5. Этот плагин, по сути, был вредоносным ПО Sednit/Sofacy для пользователей Windows и X-Agent и Fysbis, которые были предназначены, чтобы шпионить за пользователями Linux.

Запрос установки поддельный плагина для Firefox в операционной системе Ubuntu
Запрос установки поддельный плагина для Firefox в операционной системе Ubuntu

В обоих случаях применяли одну и ту же уловку социальной инженерии,программы-шпионы из этой же группы были установлены также с использованием эксплойтов «нулевого дня». Подробную информацию о дырах и эксплойтах, связанных с распространением этой вредоносной программы можно найти в анализе, в блоге WeLiveSecurity.

Поддельная страница входа в систему

Нападавшие также разработали фальшивую страницу входа в Outlook Web Access, подобную той, которой пользуется большая американская компания, занимающаяся продажей ядерного топлива для атомных электростанций. Другие похожие сайты OWA, предназначались для атак против оборонных организаций двух стран-членов НАТО и офиса связи НАТО на Украине.

Поддельная страница входа в Outlook Web Access служила для кражи логинов и паролей.
Поддельная страница входа в Outlook Web Access служила для кражи логинов и паролей.

Американская тактика, нападение на Белый Дом

Нападавшие в своих действиях используют опыт военных, в том числе американских. Одна из их тактик нападения на охраняемую цели, это нападение не напрямую, а с помощью приобретаемых под другими лицами, мест или ресурсов, в которых защита намного слабее. Тактику жабьих прыжков применил генерал Дуглас McArtur во время второй мировой войны на тихом океане. В настоящее время это стандартная тактика применяется и в деятельности кибер-преступников.

Feike Hacquebord пишет: „Trend Micro получил доказательственные материалы, которые указывают на то, что хакеры, стоящие за атаками Pawn Storm собираются атаковать Белый Дом. В январе 2015 года. они напали на трех популярных блоггеров, которые четырьмя днями ранее провели интервью с Бараком Обамой. Эти нападения вписываются в классическую военную тактику жабьих прыжков, в которой нападение направлено не непосредственно на цель, а на освоении потенциально слабо защищенных компаний или людей, которые могут с ним работать. Таким образом, они атаковали также около 55 сотрудников крупной американской газеты”.

ОСТАВЬТЕ ОТВЕТ