Группировка хакеров Wild Neutron известна с 2011 года под другими названиями — Jripbot, Morpho. В 2013 году злоумышленники получили известность после дерзких кибератак на ресурсы известных компаний, включая Apple, Facebook, Twitter и Microsoft. Жертвами хакерской группировки два года назад стали компании и пользователи в 11 странах: России, Франции, Швейцарии, Германии, Австрии, Словении, Палестине, ОАЭ, Казахстане, Алжире и США. Основными мишенями Wild Neutron были: риэлтерские и инвестиционные компании, организации, работающие с криптовалютой Bitcoin и юридические фирмы, предприятия, вовлеченные в сделки слияния/поглощения и IT-компании, учреждения здравоохранения и многоотраслевые корпорации. Список можно продолжать.
После почти годовых «каникул» хакеры, как стало известно из информационного собщения «Лаборатории Касперского», вновь вернулась к своему преступному промыслу — к охоте за конфиденциальной информацией. Особенностью данной группировки является кибершпионаж — охота за конфиденциальной информацией, связанной с бизнес-активностью компаний и персон: ноу-хау, интеллектуальная собственность, инвестиционная активность, бухгалтерская отчетность и многие другие объекты кибершпионажа. Руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского» Костин Райю в своем комментарии отмечает: «Группа, атакующая крупные IT-компании, разработчиков шпионского ПО (FlexiSPY), исламистские форумы и Bitcoin-компании, позволяет предположить, что у нее гибкие и крайне необычные интересы и цели».
Анализируя стиль действий хакеров, эксперты пришли к выводу, что имеют дело с серьезными профессионалами, которые не связаны с госструктурами и спецслужбами, но мотивированы исключительно экономическими интересами. По словам Костина Райю, Wild Neutron — «опытная кибергруппировка, применяющая разнообразные техники атак, каждый раз использует минимум одну уязвимость нулевого дня, внедряя, таким образом, созданное под конкретные задачи вредоносное ПО и инструменты для систем Windows и OS X».
Внутри взломанной сети хакеры устанавливают бэкдор и, сняв «слепок» с компьютерного оборудования, используют его как для идентификации мишени, так и в качестве вспомогательного средства для шифрования конфиденциальной информации об URL и всей конфигурации контрольного сервера. Инфицирование киберпреступники осуществляют через компрометацию часто посещаемого мишенью веб-ресурса. Например, форума. Атакуют такой ресурс с помощью эксплойтов, или скриптов-редиректов, которые перенаправляют пользователей на другие также заряженные эксплойтами веб-ресурсы. Этот принцип «брызг» создает впечатление, что многие пользователи оказались инфицированы совершенно случайно, попав, как говорится, «под раздачу». Однако, на это и делался расчет. Нападение широким фронтом позволяет хакерам получить доступ к потенциально ценным данным из зачастую неожиданных источников...
При этом они, как правило, во взломанные сети хакерами данной группировки внедряются модули, которые в значительной степени основаны на инструментах с открытым кодом: Mimikatz, Pass-the-Hash, или хорошо известное коммерческое вредоносное ПО — Hesperbot. Для атак хакеры используют четыре вида троянов собственного сочинения. В каталоге вредоносного ПО «Лаборатории Касперского» они значатся как: Trojan.Win32.WildNeutron.gen, Trojan.Win32.WildNeutron.*, Trojan.Win32.JripBot.* и Trojan.Win32.Generic.
Если два года назад хакеры Wild Neutron для распространения своих троянов использовали, главным образом, эксплойты Java, то сегодня они «запрягли» Adobe Flash Player, используя имеющуюся там «брешь». Таким образом, хакеры вводят в систему пользователя невидимы для антивирусов загрузчик вредоносного ПО. Дело в том, что продукт Adobe подписан легитимным сертификатом (скорее всего, хакеры его украли у самого разработчика). К слову сказать, по требованию «безопасников» этот скомпрометированный сертификат сейчас отзывается.
Аналитики отмечают, что дисциплина проведения организация взломов Wild Neutron достаточно жесткая, и поэтому вычислить, кто и откуда атаковал сетевой ресурс почти невозможно. Единственное, что пока удалось выловить экспертам по ИБ, так это румынскую фразу «La revedere», что в переводе на русский означает «до свидания», а иногда транслит с русского — uspeshno («успешно»), которые находились в конце некоторых сессий коммуникаций с хакерским командно-контрольным сервером.
Злоумышленникам Wild Neutron до сих пор удавалось безнаказанно скрываться. И при этом сохранить всю свою вредоносную инфраструктуру, не засветив даже адрес своего командного сервера, используемого для контроля инфицированных систем. Однако у многих серьезных компаний к злоумышленникам имеются свои счеты, и за нанесенный ущерб они готовы с ними поквитаться. Так что посмотрим, удастся ли и в 2015 году группировке безнаказанно заниматься кибершпионажем, как это случалось в на протяжении предыдущих лет.
.png)