Несколько критических инфраструктурных организаций в России стали мишенью хакеров, которыми, как полагается, движет финансовая составляющая. Об этом сообщает SecurityWeek.
Исследователи из Endpoint security firm Cylance обнаружили поддельные сайты российского нефтяного гиганта "Роснефть" и двух десятков других крупных российских компаний. В список также вошли несколько крупных финансовых бирж, базирующихся в России.
Поскольку многие из целевых организаций принадлежат российскому правительству, можно было бы ожидать, что поддельные веб-сайты были созданы финансируемыми государством субъектами угроз, сосредоточенными на шпионаже. Однако более тщательный анализ показал, что они фактически использовались киберпреступниками с целью заполучить прибыль.
Поддельные веб-сайты напоминали реальные официальные сайты и домены.
Злоумышленники отправили специально созданные документы, предназначенные для извлечения части вредоносного ПО с одного из поддельных веб-сайтов. Основная часть вредоносных программ, доставленных в этих атаках, версия redcontrol вредоносных программ, открывает бэкдор в целевой системе, что позволяет хакерам собирать конфиденциальную и ценную информацию.
По мнению исследователей, киберпреступники были активны в течение более чем трех лет, однако пока неясно, были ли атаки успешными.
