Как отмечают исследователи компании Norman Shark, атаку на компьютерную сеть норвежского оператора Telenor осуществила группа киберпреступников из Индии, которые ранее были замешаны в нападениях на различные государственные и коммерческие структуры в разных странах.
Напомним, что атака на скандинавскую телекоммуникационную компанию началась с рассылки мошеннических писем электронной почты, о которых первыми сообщили сотркдники NorCERT (Norwegian Computer Emergency Response Team).
В ходе расследования атаки, исследователи установили, что в атаке на Telenor принимали участие серверы, связанные с доменными именами и IP-адресами индийского происхождения. Их активность впервые была зафиксирована осенью 2010 года, когда злоумышленники атаковали бизнес, правительственные и политические организации, а также пытались воровать данные, представляющие государственную тайну соседнего с Индией Пакистана. Эти же мощности применялись для атак на промышленных предприятия в США и других странах.
В случае с Telenor хакеры использовали персональные письма с вредоносными вложениями и текстом, подобранным под каждого получателя индивидуально. Здесь же атакующие использовали эксплоиты, работавшие в популярных программах: Windows common controls (CVE-2012-0158), Internet Explorer (CVE-2012-4792), Java (CVE-2012-0422) и другие. Производители соответствующих программ уже достаточно давно устранили эти уязвимости. Норвежские специалисты полагают, что при помощи рассылки разных эксплоитов хакеры просто выявляли, какие из приложений сработают.
Более того, в ходе атаки на Telenor, злоумышленники изменяли вредоносное ПО, точно ориентируя его на своих жертв и подбирая наиболее эффективные методы атаки.
Стоит отметить, что антивирусной компании Eset удалось установить связь атаки на Telenor с нападением на компьютерные системы в Пакистане и других странах, проведенным два года назад. Тогда целью кибератаки являлась кража конфиденциальной информации с зараженных компьютеров – для этого использовались различные способы, включая клавиатурный шпион, модуль снятия скриншотов рабочего стола, модуль передачи документов на внешний сервер и т.д. После успешной атаки все собранные данные отправлялись к злоумышленникам.
При организации этой атаки киберпреступники использовали действующий цифровой сертификат, которым подписывали вредоносные исполняемые файлы. Такая подпись придавала этим файлам большую легитимность. Упомянутый сертификат еще в 2011 году был получен компанией, расположенной в Нью-Дели (Индия). Вредоносное ПО, которое подписывалось этим сертификатом, распространялось через электронную почту.
Киберпреступники маскировали вредоносные файлы под электронные документы с якобы важным содержанием. Специалистами Eset было обнаружено несколько подобных документов, которые, судя по всему, должны были заинтересовать потенциальных жертв. Так, в одном из них использовалась тема индийских вооруженных сил.
Источник: SecurityLab
|
