Хакеры, саботировавшие Олимпиаду-2018, вернулись. В списке целей есть и Украина

Вредоносный червь Olympic Destroyer, с помощью которого саботировали проведение зимней Олимпиады в Пхёнчхане, вернулся за новыми жертвами, пишет издание ArsTechica со ссылкой на экспертов Kaspersky Lab. Тогда группа хакеров «положила» сайт спортивного мероприятия, воспрепятствовали получению билетов, отключила Wi-Fi. На этот раз та же группа нацелена на другие объекты — организации, которые реагируют на биологические и химические атаки, финансовые учреждения.

Пока что в Kaspersky не зафиксировали каких-то разрушительных последствий. Но стоящие за Olympic Destroyer взломщики получили доступ к компьютерам во Франции, Германии, Швейцарии, России и Украине. На один и тот же источник угрозы, сообщают исследователи, указывает схожесть методик. Одна из самых популярных — рассылка email-писем на аффилированные с организацией адреса. К сообщениям прикрепляются файлы с безобидным названием вроде Korporativ и Korporativ_2018. Открыв их, на компьютере жертвы начинается исполнение вредоносного кода.

Один из фальшивых Word-файлов напоминает поддельный пресс-релиз и содержит отсылки к конференции Spiez Convergence — международной экспертной встрече по вопросам биохимических угроз. Организатором мероприятия выступает компания Spiez Laboratory, сыгравшая главную роль в расследовании отравления бывшего российского шпиона Сергея Скрипаля и его дочери Юлии. Второй документ предназначался для органов здравоохранения и ветеринарного контроля Украины.

В Kaspersky прямо не указывают страну, стоящую за подготовкой новой атаки, но указывают на сходство с группой Sofacy, которую подозревают в работе на российское правительство. Одно из доказательств такой связи — язык написания документов, которые распространялись в Украине. Они составлены на идеальном русском, явно не благодаря машинному переводу. Sofacy также известна под именем Fancy Bear и подозревается в ряде политически мотивированных атак по всему миру. Среди них — взлом серверов Демпартии США, атака на Олимпийский комитет и немецкий Бундестаг.

То, что в числе пострадавших есть и финансовые организации из России, в Kaspersky объяснили двумя предположениями. Это могут быть соперничающие между собой группы с разными интересами, использующие одни и те же приемы. Или же таким образом злоумышленники отвлекают внимание исследователей. В атаке на Олимпиаду они провернули подобное, как пиcали исследователи Cisco, оставив поддельные зацепки на происхождение вредоносного кода из Северной Кореи.

Лаборатория рекомендует организациям, занимающимся исследованием биологических и химических угроз, временно установить повышенные меры контроля за безопасностью. 

Напомним, ранее на AIN.UA выходил материал о нигерийских мошенниках, которые несмотря на насмешки крадут миллиарды долларов.