Антивирусная компания «вскрыла» антитеррористическую операцию украинских спецслужб

0

Антивирусная компания «вскрыла» антитеррористическую операцию украинских спецслужб
Антивирусная компания «вскрыла» антитеррористическую операцию украинских спецслужб

Компания ESET сорвала операцию «Прикормка», фактически защитив террористов Донбасса от украинских кибершпионов.

Словацкая антивирусная компания ESET заявила об обнаружении таргетированной кампании кибершпионажа в Украине. Согласно ее исследованию, операция «Прикормка» имеет украинское происхождение и нацелена на «антиправительственных представителей самопровозглашенных Донецкой и Луганской Народных Республик», а также украинских госчиновников, политиков, журналистов и другие ведомства. В исследовании детально описываются методы атаки и предоставляются данные и рекомендации, как обнаружить вредоносное ПО, пишет на сайте AIN.ua Павел Красномовец.

«Операция Groundbait («Прикормка») является текущей операцией кибернаблюдения за отдельными личностями в Украине. Группа злоумышленников, задействованная в операции, запустила целенаправленную и, возможно, политически мотивированную атаку для шпионства за наперед определенными целями», — утверждается в основных положениях исследования ESET.

В третьем квартале 2015 года специалисты словацкой компании выявили ранее неизвестное модульное семейство вредоносных программ Prikormka. Она является типичной троянской программой-кибершпионом, которая позволяет красть данные с инфицированных компьютеров. Дальнейшие исследования показали, что угроза появилась еще в 2008 году, но семь лет оставалась незамеченной из-за низкого количества угроз. С 2014 года их количество возросло и случаи заражения Prikormka были зафиксирована в Бельгии, Пакистане, России и Украине. По данным ESET, более 80% угроз пришлось на нашу страну.

Статистика обнаружений Prikormka по странам
Статистика обнаружений Prikormka по странам

Рыбаки и рыбки

Один из первых примеров вредоносного ПО, который проанализировали специалисты антивирусной компании, стал файл prikormka.exe. Он и другие программы того же семейства распространялись в качестве вложения или ссылки на скачивание в фишинговых письмах. После запуска вредоносного исполняемого файла, он открывал документ-приманку, которая отвлекала внимание пользователя. В это время основной код выполнял необходимые хакерам действия.

Ключевым для успешности подобных «операций» является качество подготовки фишингового письма. Если письмо и документы касаются жертвы и не вызывают подозрения, то он их откроет. Анализируя их и специальные идентификаторы, встроенные в каждый экземпляр Prikormka, в ESET попытались определить цели атак злоумышленников.

«Большое количество документов-приманок, использованных в атаках Prikormka, использует темы, касающиеся самопровозглашенных Донецкой и Луганской Народных Республик. Кроме того, ряд документов-приманок содержит личные данные, в частности, внутреннюю статистику и документы, которые, вероятно, используются во внутреннем документообороте самопровозглашенных республик. Это свидетельствует о том, что операторы ПО специально атаковали людей этих регионов», — приходят к выводу в ESET.

Несколько примеров названий зараженных вложений, перед открытием которых не смогли устоять адресаты:

- Нацгвардейцы со шприцами сделали из донецкого мальчика мишень для ракет.exe
- Последнее обращение командира бригады ‘Призрак’ Мозгового Алексея Борисовича к солдатам и офицерам ДНР и ЛНР.scr
- Места дислокации ВСУ в зоне проведения АТО.scr

Среди документов-приманок, которые видели цели в ДНР и ЛНР, «Справочник по министерствам обновленный.exe», который открывал документ-приманку с перечнем министерств сепаратистов. Еще один пример, который приводят в ESET, файл «материалы к зачету по законодательству.exe», открывающий ряд документов, включая «конституцию ЛНР». Идентификатор кампании с этим файлом имеет название L_ment. Тут словацкая фирма утверждает, что «использование в названии сленгового слова «мент» говорит о свободном владении злоумышленниками русским языком». Также утверждается, что большинство кампаний, направленных на сепаратистские территории имеют префиксы идентификаторы L и D, что «вполне вероятно, означает» ДНР и ЛНР.

Пример документа-приманки
Пример документа-приманки

Помимо Востока Украины следы Prikormka также выявили на Западе. Поскольку одна из кампаний имела файл с названием на украинском «План ДНР на 21 липня, щодо відводу військ.exe» и была обнаружена в западных областях, в ESET утверждают, что злоумышленники владеют украинским. Идентификатором этой кампании является Psek, «что свидетельствует о том, что члены украинской националистической партии «Правый сектор» тоже были под прицелом киберзлодеев».

Откуда и зачем

В ходе исследования специалисты антивирусной компании выявили ряд командных серверов, с которых происходило управление Prikormka. Семь из восьми серверов находились на бесплатном хостинге ho.ua. Один из них, girls.ho.ua с информацией о Киеве, использовался с 2008 года.

Сайт-прикрытие для сервера командного центра, созданный хакерами
Сайт-прикрытие для сервера командного центра, созданный хакерами

Антивирусным аналитикам удалось получить доступ к одному из командных серверов. После анализа журналов, найденных там, они выявили 33 жертвы в основном из Восточной Украины, но было также несколько из России и Киева. Также удалось установить, что несколько хакеров получали доступ к серверу через интернет-провайдера Киева и Мариуполя.

Итак, основные аргументы ESET: большинство командных серверов находятся в Украине, злоумышленники свободно владеют украинским и русским языками, некоторые интернет-провайдеры расположены в украинских городах, а хакеры были активны в рабочее для Украины время.

Из этого словацкие специалисты сделали выводы, что «реализаторы операции «Прикормка» заинтересованы в наблюдении и шпионстве за сепаратистами Донецкой и Луганской областей», а также некоторыми целями «особой важности», включая украинских политиков. «Операторы вредоносной программы владеют украинским и русским и, вероятно, работают на территории Украины». В ESET также нарекли Prikormka «первым выявленным украинским вредоносным программным обеспечением».

«Любые дальнейшие попытки указать на авторов атаки в этом моменте будут спекулятивными. В дополнение к сепаратистам, среди целей кампании есть украинские госчиновники, политики и журналисты. Возможность проведения операции под ложным флагом (чтобы она умышленно казалась проведенной украинцами – Ред.) также не стоит отбрасывать», — дипломатично заключает специалист ESET Роберт Липовский.

В конце исследования словацкая компания предоставляет данные для обнаружения вредоносного ПО, тем самым давая представителям ДНР и ЛНР инструменты защиты от украинских «злоумышленников».

AIN.UA обратился за комментариями о данной операции к СБУ, а также авторам исследования, но пока не получил ответа.

 


Теги статьи:
Распечатать Послать другу
comments powered by Disqus
Степан Кубив легализирует игровые автоматы Третьякова / 20.02.2018
Степан Кубив легализирует игровые автоматы Третьякова
На этой неделе Кабинет министров Украины может принять скандальный проект лиценз… Подробнее
Фокин Сергей Александрович умеет заработать: спецподразделение «пушок» или столичные приключения прокурора Фокина / 12.02.2018
Фокин Сергей Александрович умеет заработать: спецподразделение «пушок» или столичные приключения прокурора Фокина
Новым героем нашей публикации станет Фокин Сергей Александрович — прокурор котор… Подробнее
Андрей Скотч - криминальный миллиардер на службе у воров в законе / 31.01.2018
Андрей Скотч - криминальный миллиардер на службе у воров в законе
Буквально на первой неделе своего пребывания в Государственной Думе депутат-милл… Подробнее
Перемены в семье Путина позволяют заглянуть внутрь Russia Inc. / 25.01.2018
Перемены в семье Путина позволяют заглянуть внутрь Russia Inc.
За время своего брака и подготовки к нему Кирилл Шамалов попал в число богатейши… Подробнее
Круг сжимается: задержана еще одна сообщница по отмыванию бюджетных денег гендиректора ТАСС Сергея Владимировича Михайлова / 23.01.2018
Круг сжимается: задержана еще одна сообщница по отмыванию бюджетных денег гендиректора ТАСС Сергея Владимировича Михайлова
Полиция задержала бывшего руководителя рекламного подрядчика Московского метро —… Подробнее
Курочка по зёрнышку: как зарабатывает «Объединённая зерновая компания» Зиявудина Магомедова / 17.01.2018
Курочка по зёрнышку: как зарабатывает «Объединённая зерновая компания» Зиявудина Магомедова
Российская приватизация не столько рождает нуворишей и новых миллиардеров, сколь… Подробнее
Этери Масхулия прикарманивает миллионы на государственном отеле Ленобласти в Сочи: документы / 16.01.2018
Этери Масхулия прикарманивает миллионы на государственном отеле Ленобласти в Сочи: документы
Шикарный отель в центре курортного города принес региону около 2,5 млрд убытков.… Подробнее
Сеть АЗС БРСМ-Нафта официально подтвердила факт продажи Андреем Бибой своей части в компании / 15.01.2018
Сеть АЗС БРСМ-Нафта официально подтвердила факт продажи Андреем Бибой своей части в компании
В минувшую пятницу, 12 января 2018 года, стало известно о том, что владелец сети… Подробнее
Глава ОПГ Киевской таможни казнокрад Сергей Тупальский готовится бежать в Россию - источник / 12.01.2018
Глава ОПГ Киевской таможни казнокрад Сергей Тупальский готовится бежать в Россию - источник
Сергей Тупальский может покинуть не только свой пост, но и территорию Украины в … Подробнее
loading...
Загрузка...
loading...
Загрузка...
Все статьи
Последние комментарии
Наши опросы
Где больше всего бандитов и коррупционеров?








Показать результаты опроса
Показать все опросы на сайте