ИБ-исследователи Центра защиты от вредоносного ПО Microsoft на днях сообщили, что за рядом недавно проведенных крайне сложных и тщательно организованных кибератак на правительственные, дипломатические и военные организации стран-членов НАТО и нескольких государств Восточной Европы, судя по почерку, стоит известная хакерская группировка «Стронций» (Strontium). Среди особенностей 8-летней «работы» этих киберпреступников в сети специалисты отмечают высокую организацию проведения киберопераций, их «сконфигурированность» — на основе слежки и анализа сетевой активности жертвы, а также профессиональные приемы скрывать следы.
Опираясь на сформированное «досье» по жертве, хакеры разрабатывают оптимальную схему атаки, начиная от убедительно сочиненных фишинговых e-mail-сообщений до выбора арсенала зловредов. В подавляющем большинстве случаев жертва переходит по указанной ссылке на вредоносный сайт.
Внедренный таким образом в компьютер вирус — в рамках заданного сценария — начинает сканировать всю сетевую инфраструктуру, выявляя пользователей с правами администраторов. Добытые данные передаются организаторам атаки по протоколам HTTP, SMTP и POP3 — на вроде бы известные адреса, которые не должны вызывать подозрения и усыплять бдительность. Так, вместо узнаваемого легитимного получателя на accounts.google.com вирус отправляет информацию по схожему в написании адресу accounts.g00gle.com, вместо us-mg6.mail.yahoo.com — на us-mg6mailyahoo.com, вместо mail.ukr.net — на mail-ukr.net, вместо www.bbc.com — на bbc-press.org, вместо www.ocse.org — на osce-press.org и т.д.
Полученная информация используется для подготовки решающей стадии кибератаки на администрирующие сетевые компьютеры. Из добытых на первом этапе данных в отношении намеченной жертвы также формируется свое «досье». Таким образом, в результате успешной проведенной операции «Стронций» получает высоко привилегированный доступ к сети, через которую осуществляется инфицирование всех компьютеров.
Как отметили исследователи, ПО хакеров имеет множество модулей, среди которых — эффективная ключевая регистрация, поддержка дистанционной связи с управляющими внешними серверами, сканирование содержимого компьютера и выявление персональных и конфиденциальных данных, учет имеющихся на дисках файлов и т.д. «Стронций» активно эксплуатирует известные уязвимости в широком диапазоне ПО, включая Adobe Flash Player, Java, Microsoft Word и Internet Explorer.
Примечательно, что злоумышленники стараются держать руку на пульсе и тщательно отслеживают все новости по ИБ. Это позволяет им вносить соответствующие коррективы при разработке кибератак, например, обновляя арсенал вредоносного ПО, или узнавая о незакрытых брешах. Скажем, после сообщений в СМИ об июльской утечке данных у итальянской компании Hacking Team, когда выяснились подробности о ранее неафишируемых уязвимостях «нулевого дня», хакеры из группы «Стронций» начали активно эксплуатировать именно те самые указанные «дыры» в системе.
Хотя исследователи Microsoft не имеют представления, какие конкретные организации стоят за этой группировкой, однако, оценивая их профессионализм, масштабы кибератак и тщательную (зачастую весьма дорогостоящую) «разработку» киберопераций, они все больше склоняются к мысли, что «Стронций» поддерживается на государственном уровне.
