Атака на водопое

10933

За последнее время мы привыкли к новостям о кибер­атаках на бизнес, которые приводят к разным потерям – порой это небольшие деньги, а иногда крупные суммы. Но что если не деньги стоят в главе угла?

Одним из важных результатов работы казахстанской службы реагирования на компьютерные инциденты KZ-CERT (подразделение РГП «Государственная техническая служба») стали обнаружение и нейтрализация компонентов известного шпионского программного обеспечения в сети ключевого государственного органа. Эта программа, одна из самых сложных и опасных на сегодня, называется Epic Turla. Ее компоненты способны полноценно управлять компьютером жертвы, перехватывать клавиатурный ввод, копировать файлы как с ПК, так и на него. Основным функционалом атаки является кибершпионаж в области науки, техники и государственной власти.

По данным Лаборатории Касперского, атакующим удалось заразить компьютеры более чем в 45 странах мира, принадлежащие госучреждениям, посольствам, военным, исследовательским центрам, фармацевтическим компаниям и пр. Так что, если вы входите в группу риска, вам стоит провести аудит информационной безопасности в вашей организации.

Для заражения применяются как технические методы (уязвимости в различных программных продуктах), так и приемы социальной инженерии – классические целевые фишинговые письма, такие, которые казахстанцы каждый день получают от клиентов, партнеров, поставщиков. Жертву убеждают открыть вредоносное приложение к письму, при этом тема и отправитель выбираются и подделываются таким образом, чтобы максимизировать вероятность активизации содержимого.

Удалось заразить в более чем 45 странах компьютеры госучреждений, посольств, военных и других объектов

Однако, если с вашей защитой все в порядке, тоже не стоит успокаиваться. Значимым вектором атаки, используемым в рамках Epic Turla, является подход wateringhole («атака на водопое»), заключающийся во взломе важного для жертвы сайта и размещении на нем вредоносных объектов. При посещении взломанного сайта сообщается, что необходимо обновить один из плагинов для браузера, под видом которого пользователь устанавливает вредоносную программу на компьютер. Кроме того, есть сценарий, когда злоумышленники используют эксплойты для уязвимого ПО и заражение осуществляется просто при посещении сайта – никаких действий от пользователя не требуется.

Отличительной особенностью Epic Turla является организация коммуникаций зараженных компьютеров с командными серверами посредством взлома и использования спутниковых каналов связи, что затрудняет определение географического местоположения таких серверов и, соответственно, их блокирование и изъятие правоохранительными органами.

В описанном выше случае сложность Epic Turla не помешала специалистам KZ-CERT быстро обнаружить и эффективно нейтрализовать задетектированный вредоносный код.

Мы по-прежнему считаем, что повышение компьютерной грамотности и знаний о киберугрозах является ключом к общественной безопасности, и активно продолжаем популяризировать этот контент среди работников частных компаний и государственных органов.

   Если вы обнаружили ошибку или опечатку, выделите фрагмент текста с ошибкой и нажмите CTRL+Enter

Орфографическая ошибка в тексте:

Отмена Отправить