прислать материал
AIN.UA » БезопасностьESET обезвредил украинских хакеров, ведущих кибершпионаж против сепаратистов

ESET обезвредил украинских хакеров, ведущих кибершпионаж против сепаратистов

13892 30

Словацкая антивирусная компания ESET заявила об обнаружении таргетированной кампании кибершпионажа в Украине. Согласно ее исследованию, операция «Прикормка» имеет украинское происхождение и нацелена на «антиправительственных представителей самопровозглашенных Донецкой и Луганской Народных Республик», а также украинских госчиновников, политиков, журналистов и другие ведомства. В исследовании детально описываются методы атаки и предоставляются данные и рекомендации, как обнаружить вредоносное ПО.

Материал дополнен официальной позицией компании ESET

«Операция Groundbait («Прикормка») является текущей операцией кибернаблюдения за отдельными личностями в Украине. Группа злоумышленников, задействованная в операции, запустила целенаправленную и, возможно, политически мотивированную атаку для шпионства за наперед определенными целями», — утверждается в основных положениях исследования ESET.

В третьем квартале 2015 года специалисты словацкой компании выявили ранее неизвестное модульное семейство вредоносных программ Prikormka. Она является типичной троянской программой-кибершпионом, которая позволяет красть данные с инфицированных компьютеров. Дальнейшие исследования показали, что угроза появилась еще в 2008 году, но семь лет оставалась незамеченной из-за низкого количества угроз. С 2014 года их количество возросло и случаи заражения Prikormka были зафиксирована в Бельгии, Пакистане, России и Украине. По данным ESET, более 80% угроз пришлось на нашу страну.

Screenshot_1

Статистика обнаружений Prikormka по странам

Рыбаки и рыбки

Один из первых примеров вредоносного ПО, который проанализировали специалисты антивирусной компании, стал файл prikormka.exe. Он и другие программы того же семейства распространялись в качестве вложения или ссылки на скачивание в фишинговых письмах. После запуска вредоносного исполняемого файла, он открывал документ-приманку, которая отвлекала внимание пользователя. В это время основной код выполнял необходимые хакерам действия.

Ключевым для успешности подобных «операций» является качество подготовки фишингового письма. Если письмо и документы касаются жертвы и не вызывают подозрения, то он их откроет. Анализируя их и специальные идентификаторы, встроенные в каждый экземпляр Prikormka, в ESET попытались определить цели атак злоумышленников.

«Большое количество документов-приманок, использованных в атаках Prikormka, использует темы, касающиеся самопровозглашенных Донецкой и Луганской Народных Республик. Кроме того, ряд документов-приманок содержит личные данные, в частности, внутреннюю статистику и документы, которые, вероятно, используются во внутреннем документообороте самопровозглашенных республик. Это свидетельствует о том, что операторы ПО специально атаковали людей этих регионов», — приходят к выводу в ESET.

Несколько примеров названий зараженных вложений, перед открытием которых не смогли устоять адресаты:

  • Нацгвардейцы со шприцами сделали из донецкого мальчика мишень для ракет.exe
  • Последнее обращение командира бригады ‘Призрак’ Мозгового Алексея Борисовича к солдатам и офицерам ДНР и ЛНР.scr
  • Места дислокации ВСУ в зоне проведения АТО.scr

Среди документов-приманок, которые видели цели в ДНР и ЛНР, «Справочник по министерствам обновленный.exe», который открывал документ-приманку с перечнем министерств сепаратистов. Еще один пример, который приводят в ESET, файл «материалы к зачету по законодательству.exe», открывающий ряд документов, включая «конституцию ЛНР». Идентификатор кампании с этим файлом имеет название L_ment. Тут словацкая фирма утверждает, что «использование в названии сленгового слова «мент» говорит о свободном владении злоумышленниками русским языком». Также утверждается, что большинство кампаний, направленных на сепаратистские территории имеют префиксы идентификаторы L и D, что «вполне вероятно, означает» ДНР и ЛНР.

Screenshot_3

Пример документа-приманки

Помимо Востока Украины следы Prikormka также выявили на Западе. Поскольку одна из кампаний имела файл с названием на украинском «План ДНР на 21 липня, щодо відводу військ.exe» и была обнаружена в западных областях, в ESET утверждают, что злоумышленники владеют украинским. Идентификатором этой кампании является Psek, «что свидетельствует о том, что члены украинской националистической партии «Правый сектор» тоже были под прицелом киберзлодеев».

Откуда и зачем

В ходе исследования специалисты антивирусной компании выявили ряд командных серверов, с которых происходило управление Prikormka. Семь из восьми серверов находились на бесплатном хостинге ho.ua. Один из них, girls.ho.ua с информацией о Киеве, использовался с 2008 года.

Screenshot_4

Сайт-прикрытие для сервера командного центра, созданный хакерами

Антивирусным аналитикам удалось получить доступ к одному из командных серверов. После анализа журналов, найденных там, они выявили 33 жертвы в основном из Восточной Украины, но было также несколько из России и Киева. Также удалось установить, что несколько хакеров получали доступ к серверу через интернет-провайдера Киева и Мариуполя.

Итак, основные аргументы ESET: большинство командных серверов находятся в Украине, злоумышленники свободно владеют украинским и русским языками, некоторые интернет-провайдеры расположены в украинских городах, а хакеры были активны в рабочее для Украины время.

Из этого словацкие специалисты сделали выводы, что «реализаторы операции «Прикормка» заинтересованы в наблюдении и шпионстве за сепаратистами Донецкой и Луганской областей», а также некоторыми целями «особой важности», включая украинских политиков. «Операторы вредоносной программы владеют украинским и русским и, вероятно, работают на территории Украины». В ESET также нарекли Prikormka «первым выявленным украинским вредоносным программным обеспечением».

«Любые дальнейшие попытки указать на авторов атаки в этом моменте будут спекулятивными. В дополнение к сепаратистам, среди целей кампании есть украинские госчиновники, политики и журналисты. Возможность проведения операции под ложным флагом (чтобы она умышленно казалась проведенной украинцами – Ред.) также не стоит отбрасывать», — дипломатично заключает специалист ESET Роберт Липовский.

В конце исследования словацкая компания предоставляет данные для обнаружения вредоносного ПО, тем самым давая представителям ДНР и ЛНР инструменты защиты от украинских «злоумышленников».

На запрос AIN.UA, в ESET сообщили, что не нейтрализовали работу хакеров, а лишь исследовали их деятельность. Во время проведения исследования компания контактировала только с украинскими правительственными учреждениями для решения проблем их безопасности и никоим образом не взаимодействовала с сепаратистами. По словам представителя PR-службы ESET Бранислава Ондрасика, анализируемые образцы вредоносного ПО, которые поразили компьютеры сепаратистов, брались с международного сервиса VirusTotal и компании неизвестна текущая ситуация с компьютерной безопасностью на оккупированных территориях.

“Компания ESET всегда остается в стороне от политических вопросов, и этот раз не стал исключением. Компания ESET всегда придерживается терминологии и правил международного сообщества, представленного Организацией Объединенных Наций, и, будучи компанией Европейского Союза, всегда придерживается его правил (в том числе по вопросам территориальной целостности Украины)”, – говорится в официальном заявлении ESET.

Напомним, что ранее украинская киберполиция обезвредила бот-сеть из 4000 компьютеров по рассылке спама.

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

30 комментариев

по хронологии
по рейтингу сначала новые по хронологии

Ждем отчет Эсет о сотрудничестве Хесбалой, Аль-Каидой и ИГИЛ. Уроды, слов нет.

Это вы пытаетесь проводить избирательное правосудие.

Откуда ты вылезо, чучело днровское? Или тебе в подвал инет провели?

Sergei Khablov

я бы сам платил бы хакерам,что бы они шпионили за лугандоном,и что бы ломали и уничтожали их базы данных,что бы портили им жизнь как только можно

Радует, что обезвредили хакеров. 🙂

Ivan Frolov

Сука

Обезвреженный хакер?
Минусуют они же?

Жорж Батон

Украинские хакеры используют незаконные методы ? Турьма им. Для всех правила одни и те же.

Denn Massalitin

Во первых - не поймают.
И даже ловить не будут - зачем. делают полезное дело же.

Во вторых - эти хакеры могут делать это на заказ спецслужб/разведки

Viktor Laser

Хах, както глупо.
Развод.ехе ))))

Viktor Kompaneyets

AIN пожелтел и начал осыпаться. Скоро зима, подумал Вася Пупкин...

Benjamin Turiansky

В конце исследования словацкая компания предоставляет данные для обнаружения вредоносного ПО, тем самым давая представителям ДНР и ЛНР инструменты защиты от украинских «злоумышленников».
WTF!

id327118109

Да-да, вот и показали свое личико ребятки

Владимир Кондратюк

гейропа любит садо-мазо, судя по всему ) Ну и видимо у них слишком там в Словакии спокойно и нет войны совсем.

Denis Remishevsky

Антивирусным аналитикам удалось получить доступ к одному из командных серверов. - давайте уже называть вещи своими именами, ломанули сервак?

id327118109

Их бы по хорошему за содействие террористам наказать....как миннимум- бойкот товаров ЕСЕТ в Украине, пусть их в "Дыре" и "Лыре" покупают

Хеей, гляньте но, бомжи засвітились...

id324476440

Очень интересно что ЕСЕТ зашивает в НОД32 и какие файлы они читают! Может, прикрываясь борьбой с вирусами, они работают на тихое снятие инфы с компов?

id359144402

Нужно запретить ESET на территории цивилизованных стран хотят сотрудничать с террористами пусть свою продукцию в лнр днр и продают! ... посмотрим как у них там продажи взлетят!)

id303325719

Слід уважніше обирати антивірусний захист. Спецслужби РФ вже й сюди дісталися. До таких компаній слід застосовувати жорсткі міри реагування зі сторони міжнародної спільноти.

Нужно бойкотировать этот Eset! Когда потеряют позиции на рынке Украины, мгновенно перестанут поддерживать террористов!

id358501689

Слід взагалі відмовитися від такого антивірусного захисту!

id293210932

Как можно пользоваться антивирусом который за одно с террористами!! конечно нельзя пособники сраные

нельзя пользоваться той хернёй которая с терористами за одно!!!!!!!!!!!!!!!!

id367053022

Не правильно это, они должны были быть вне политики. Продажные гниды.

Как вобще можно пользоваться антивирусом, который помогает террористам!!! Надо его запретить на территории Украины, куда смотрит правительство!?!

Viktoria Rouz

взорвать их нах... вместе с террористами!!

id262499969

Если имеются минимальные предпосылки до пособничества в терроризме однозначно надо блокировать работу этой фирмы на территории Украины!!!

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: