Размер шрифта:
Уменьшить - Увеличить +
Фон страницы:
Обычный Белый Черный Голубой
Межбуквенный интервал:
Обычный Средний Большой
Изображения:
Включить Выключить
Отключить версию для слабовидящих close
Проект Координационного центра доменов .RU и .РФ
ru
en
Назад
Кибершпионы используют вымогательское ПО, чтобы замести следы
#кибершпионаж #вымогательское ПО
Кибершпионы используют вымогательское ПО, чтобы замести следы

Компании SentinelLabs и Recorded Future опубликовали совместный отчет, посвященный новой тактике азиатских хакерских группировок, представляющих постоянную серьезную угрозу (advanced persistent threat - APT). Эти группы специализируются на кибершпионских операциях, но все чаще используют инфицирование систем жертв вымогательским ПО, чтобы скрыть истинные цели своих атак и затруднить их расследование.

В частности, в отчете разбираются действия группировки ChamelGang (также известной как CamoFei), предположительно имеющей поддержку на уровне властей КНР. В атаках в период с 2021 по 2023 годы эта группа неоднократно использовала вымогательское ПО CatB. Так, в ноябре 2022 года хакеры ChamelGang, применяя изощренные техники и программное обеспечение, получили доступ к системам администрации президента Бразилии и смогли скомпрометировать 192 компьютера. Собрав значительные объемы информации, на последнем этапе операции киберпреступники инфицировали эти устройства шифровальщиком CatB, включив требования выкупа в начало каждого зашифрованного файла. Они указали адрес электронной почты защищенного сервиса ProtonMail для связи и номер биткойн-кошелька для уплаты выкупа. Изначально атака приписывалась хакерам группировки TeslaCrypt, но новые доказательства, найденные исследователями SentinelLabs и Recorded Future, однозначно указывают на группу ChamelGang.

По аналогичному сценарию была в конце 2022 года осуществлена атака на Индийский институт медицинских исследований, его исследовательский университет и больницу (что привело к серьезным сбоям в оказании услуг медицинской помощи). Авторы отчета полагают, что ChamelGang стоит и еще как минимум за двумя похожими атаками - на правительственное учреждение и организацию авиационной индустрии также на Азиатском континенте.

Отдельно в отчете рассматривается группа других атак, в которых использовалось вымогательское ПО BestCrypt и Microsoft BitLocker. В этих случаях жертвами стали 37 организаций - преимущественно в США, но также в Южной Америке и Европе. Установить, какие хакерские группировки стоят за ними, пока не представляется возможным, но сходство ряда тактических приемов и используемого ПО позволяет предположить северокорейский след. Исследователи считают, что, инфицирование систем жертв вымогательским ПО - прежде всего попытка запутать расследование и отвести подозрение от реальной цели атак - кибершпионажа. Впрочем, и от выкупа, если он будет выплачен, хакеры тоже наверняка не откажутся.