Исследователи по вопросам безопасности обнаружили, что загадочная хакерская группа шпионит за десятками украинских предприятий путем заражения их компьютеров очень сложной вредоносной программой, которая позволяет красть данные.
Об этом говорится в статье на сайте компании по вопросам кибербезопасности CyberScoop, перевод которой сделал ONLINE.UA.
Жертвами взлома в рамках этой шпионской кампании стали, по крайней мере, 70 человек, согласно исследованию, опубликованному в среду фирмой CyberX, которая специализируется на угрозах безопасности. Подпольная хакерская группа BugDrop, как полагают, имеет хорошее финансирование, высококвалифицированных специалистов и, возможно, поддержку государства.
"В Украине зафиксирована большая активность хакеров, но что примечательно в этом случае – это масштабы и количество человеческих и материально-технических ресурсов, необходимых для анализа таких огромных объемов украденных данных", – сказал в комментарии CyberScoop технический директор и соучредитель компании CyberX Нир Гиллер.
В последние месяцы мишенью BugDrop стал ряд различных секторов бизнеса, в том числе критически важные объекты инфраструктуры, средства массовой информации и украинские научно-исследовательские центры. Оригинальный компьютерный вирус дает BugDrop возможность получить конфиденциальную информацию – аудиозаписи, скриншоты с экрана, документы и пароли к устройствам.
Читайте также: Из-за украинских хакеров в Кремле полетели головы
В то время как большинство подвергшихся атакам целей, определенных CyberX, расположены в Украине, исследователи также нашли следы BugDrop в нескольких взломах, которые произошли в России, Саудовской Аравии и Австрии.
Шпионская программа, как правило, рассылается по электронной почте в виде фишинг-атак и вредоносных макросов, которые встроены в приложения Microsoft Office. Диалоговые окна, которые появляются при открытии жертвой вредоносного документа Word, написаны на украинском языке, хотя оригинальный язык документа русский. Создателем такого документа значится пользователь под ником Siada.
Изображение вредоносного документа, в котором содержится информация об украинских военнослужащих
Когда открывается зараженный документ Word, скрытый вредоносный VBScript начинает работать во временной папке. У основного загрузчика низкий уровень обнаружения и подозрительная картинка на аватаре – заимствования из мема (см. ниже), который распространяется среди пользователей российских социальных сетей.
"Учитывая высокий уровень киберактивности в Украине, это могут быть как поддерживаемые Россией группы, которые шпионят за украинскими целями, так и украинские группы, ведущие наблюдение за пророссийскими сепаратистами; или даже организованные киберпреступники, предлагающие свои услуги тому, кто предложит самую большую плату. Мы не знаем", – говорит Гиллер, бывший специалист по системам безопасности Армии обороны Израиля.
Недавно обнаруженные доказательства хакерских инструментов и методов BugDrop, похожи на другую группу, названную Groundbait, которую ранее обнаружила словацкая компания по ИТ-безопасности ESET.
Однако основное различие между Groudbait и BugDrop заключается в том, что последняя может похвастаться значительными возможностями, которые позволяют группе скрыть свои операции, из-за чего следователям сложнее ее выследить.
"Эта группа отличается тем, что использует Dropbox и бесплатные веб-хостинги, чтобы сохранить анонимность и зашифровать украденные данные, – сказал Гиллер, – Атрибуция, как известно, очень сложный процесс, и дополнительных проблем добавляет то, что опытные хакеры могут легко подделывать цифровые улики или доказательства, чтобы сбить людей со следа".
BugDrop, например, продемонстрировал способность задействовать передовой метод, известный как отражающее внедрение DLL (reflective DLL injection), которые эффективно обходят процедуры проверки безопасности Windows API. И зашифровав сам вредоносный код, группа смогла обойти потенциальные проверки антивируса и механизмы защиты, потому что вредоносные программы не могут быть проанализированы во время перемещения.
Читайте также: Путинские хакеры и пропагандисты выбрали новую жертву в Европе: детали от Reuters