Следить за хитросплетениями отношений проправительственных хакерских группировок и их взаимными обменами ударами не так легко, даже несмотря на то, что АКБ завело для этого отдельную рубрику. На этой неделе событий, достойных упоминания в ней, произошло так много, что мы публикуем вместо разбора одной истории небольшой дайджест из нескольких:
Во-первых, конечно, же куда без Ирана! Хакеры непокорной Персии продолжают атаковать компании как в США, так и в Саудовской Аравии (где, напомним, заправляют сунниты, в отличие от победившего в Иране шиитства). Последняя волна атак правительственной группировки Elfin (APT33) была зафиксирована в феврале нынешнего года, в целом же атаки продолжаются более трех лет. Как сообщают специалисты компании Symantec, жертвами группировки стали представители разных сфер. Помимо правительственного сектора, Elfin также интересуют производственные, инженерные и химические предприятия, исследовательские организации, консалтинговые фирмы, финансовые и телекоммуникационные компании и пр.
За последние три года жертвами Elfin стали 18 организаций в США, в том числе компании из списка Fortune 500. Некоторые из них были атакованы с целью осуществления дальнейших атак на цепочку поставок. В одном случае крупная американская компания и принадлежащая ей фирма на Среднем Востоке стали жертвой Elfin в один и тот же месяц.
Последняя волна атак была зафиксирована в феврале нынешнего года. Для их осуществления злоумышленники пытались эксплуатировать известную уязвимость в утилите WinRAR (CVE-2018-20250), позволяющую устанавливать файлы и выполнять код на системе. Внимание исследователей хакеры привлекли в декабре 2018 года в связи с новыми атаками Shamoon . Незадолго до атаки Shamoon одна из компаний Саудовской Аравии была заражена вредоносным ПО Stonedrill из арсенала Elfin. Поскольку атаки последовали сразу одна за другой, эксперты предположили, что между ними может быть связь. Тем не менее, на сегодняшний день никаких других свидетельств причастности Elfin к атакам Shamoon обнаружено не было.
Во-вторых , американцы наносят Ирану ответный удар! Microsoft получила через суд полный контроль над 99 сайтами, которыми пользовались иранские хакеры для осуществления кибератак. В этой истории речь идет об иранской хакерской группировке под названиями Phosphorus или APT35 (сколько их всего, неизвестно). АКБ напоминает, что в январе 2019 года директор Национальной разведки США Дэниел Коутс на слушаниях в спецкомитете по разведке Сената Конгресса США заявил, что угроза проведения кибершпионажа и хакерских атак на американскую инфраструктуру со стороны Ирана сохраняются. Действия иранцев , впрочем, говорят сами за себя.
В-третьих, конечно, северные корейцы! Вскоре после первой зафиксированной кибератаки КНДР на Россию , произошло другое «впервые»: Lazarus ополчилась на израильские компании (напомним, кстати, что недавняя атака хакеров Anonymous на Израиль провалилась с оглушительным треском ).
Говоря кратко, Lazarus Group, которую ИБ-эксперты связывают с Северной Кореей, осуществила атаку на израильскую оборонную компанию, сообщило издание Haaretz. Название пострадавшего предприятия не раскрывается, известно, что фирма производит продукты, используемые в военной и аэрокосмической сферах.
По данным специалистов компании ClearSky, целью группировки являлся промышленный либо военный кибершпионаж. Об операции стало в начале марта после того, как один из сотрудников оборонного предприятия получил электронное письмо на ломаном иврите якобы отправленное коллегой.
Судя по всему, злоумышленники пытались воспользоваться уязвимостью в архиваторе WinRAR , о которой стало известно в феврале текущего года. Отметим, с момента обнаружения уязвимости эксперты выявили уже более сотни эксплоитов. Сотрудники ClearSky не раскрыли, насколько успешной была кампания по кибершпионажу.
В-четвертых, в Европе тоже все неспокойно. СМИ сообщают, что неизвестные киберпреступники внедрили вредоносное ПО во внутреннюю сеть министерства обороны Испании с целью хищения секретной информации о высокотехнологичных военных разработках. Идентифицировать организаторов атаки пока не удалось. Инфицирование произошло через вредоносную рассылку, а сама вредоносная программы была обнаружена в начале марта нынешнего года. Как отмечается, вредонос присутствовал в сети, используемой более чем 50 тысяч пользователей, несколько месяцев.
Предыдущие выпуски рубрики «Игра киберпрестолов» см. по одноименному тэгу .
