Киберпреступники угрожают госорганам стран Центральной Азии
Эксперты по информационной безопасности обнаружили атаку, направленную, главным образом, на госорганы и дипломатические организации стран Юго-Восточной и Центральной Азии. От действий злоумышленников серьезно пострадали казахстанские пользователи. Жертвы кибератак обнаружены также в Узбекистане, Кыргызстане, Индии, Мьянме, Непале и на Филиппинах.
Как сообщают эксперты «Лаборатории Касперского», для заражения устройств во всех названных выше странах атакующие применяли программу-эксплойт, использующую одну и ту же уязвимость в приложении Microsoft Office. Приверженностью к этому зловреду отличались уже известные в киберпреступном мире группировки Platinum, APT16, EvilPost и SPIVY, однако на этот раз, как выяснили эксперты «Лаборатории Касперского», все следы ведут к новой группе – Danti.
Первые признаки активности Danti были замечены в феврале этого года, и кибергруппировка до сих пор не сбавляет обороты. Используемая этими злоумышленниками уязвимость CVE-2015-2545 была закрыта Microsoft еще в конце 2015 года, однако это обстоятельство не мешает злоумышленникам осуществлять масштабную кампанию кибершпионажа.
Атакующие распространяют эксплойт с помощью адресных фишинговых писем, а для того чтобы убедить получателя открыть сообщение, они используют имена высокопоставленных государственных лиц в качестве отправителей. Как только эксплойт запускается на устройстве жертвы, в системе устанавливается программа, дающая атакующим полный доступ к конфиденциальным данным в зараженной сети. При этом обнаружить факт атаки довольно непросто – используемый Danti эксплойт отличается повышенной сложностью и способен избегать детектирования встроенными средствами защиты Windows.
Происхождение Danti пока неясно, однако эксперты «Лаборатории Касперского» полагают, что группировка каким-то образом связана с организаторами кампаний кибершпионажа NetTraveler и DragonOK. Также аналитики считают, что за Danti стоят китайскоговорящие хакеры.
«Мы уверены, что этот эксплойт еще покажет себя. Пока же мы продолжаем изучать связанные с этим зловредом инциденты и проверять, имеют ли они отношение к другим атакам в азиатском регионе. В целом волна атак, осуществленная с помощью всего лишь одной уязвимости, указывает на две тенденции. Во-первых, злоумышленники все активнее уходят от дорогостоящей и длительной разработки сложных инструментов, в частности эксплойтов под уязвимости нулевого дня. Ведь как показывает практика, использование уже известных брешей дает не худший результат. А во-вторых, своевременное обновление ПО и закрытие уязвимостей в коммерческих компаниях и государственных организациях все еще не является повсеместно распространенной практикой. Так что, мы призываем компании уделять больше внимания процессу установки патчей, поскольку именно эта мера позволит им защитить себя от атак с использованием уязвимостей», – отметил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».
Ранее аналитики компании отмечали, что сегодня государственные структуры, как и банковские организации, подвержены наиболее высокому риску кибератак. Одним из свидетельств этого стали зафиксированные недавно случаи кибератак на банки, о которых сообщила система обмена банковской информацией SWIFT. Напомним, что в феврале нынешнего года хакеры получили доступ к аккаунтам сотрудников Центрального банка Бангладеш и направили серию запросов на перевод денег. Средства списывались со счетов ЦБ в Федеральном резервном банке Нью-Йорка. Сотрудники ФРС одобрили некоторые транзакции на Филиппины и Шри-Ланку, более $80 млн ушли на счета филиппинских казино.
В апреле SWIFT уведомила своих клиентов о случаях, когда хакеры отправляли фиктивные платежные поручения, имитируя сообщения SWIFT. Эксперты утверждают, что атаки демонстрировали «глубокое и основательное знание оперативного управления» конкретными банками, и необходимую информацию злоумышленники могли получить от соучастников, работающих в банках, в результате кибератаки или при сочетании двух факторов. В прошлом году были опубликованы данные о том, что преступная группировка Carabank выкрала в общей сложности более $1 млрд из сотни банков по всему миру. "Недалек тот час, когда эти деньги похитят разом из одного кармана, возможно, у одного акционера", — предупреждают специалисты в сфере информационной безопасности.
Европейский Центробанк в связи с участившимися случаями кибератак на банки сообщил о намерении создать систему для сбора данных и раннего предупреждения о подобных атаках.
По мнению экспертов «Лаборатории Касперского», вектор банковских атак в последние годы изменился: сегодня конкретная группировка или операция создается ради атаки на конкретный банк, его инфраструктуру и уязвимости. «Это требует высокого уровня подготовки, и затраты, которые несут злоумышленники, хорошо окупаются», — прокомментировал Евгений Питолин, глава офиса компании в Казахстане. В свою очередь, банки переходят на клиентоориентированную модель работы, при которой значительная часть данных переходит на сторону клиентов, в мобильные приложения.