Компания ESET — лидер в области проактивного обнаружения — сообщает об обнаружении угрозы, которая используется для проведения кибершпионской деятельности, направленной на правительство самопровозглашенных Донецкой и Луганской Народных Республик. Вредоносная программа, детектируемая продуктами ESET как Win32/Prikormka, оставалась активной и незамеченой экспертами по безопасности, начиная с 2008 года.
«Наряду с вооруженным конфликтом на востоке Украины, страна сталкивается с многочисленными целевыми кибератаками, или так называемыми развитыми устойчивыми угрозами. Например, ранее мы обнаружили несколько кампаний с использованием уже хорошо известного семейства вредоносных программ BlackEnergy, одна из которых привела к массовому отключению электроэнергии. Но в ходе операции Groundbait используется ранее неизвестное вредоносное программное обеспечение», — отмечает Роберт Липовский, старший исследователь угроз ESET.
Для распространения угрозы в ходе операции Groundbait в большинстве случаев использовались фишинговые электронные письма. «В процессе исследования мы обнаружили большое количество образцов, каждый со своим определенным ID кампании и привлекательным именем файла, чтобы вызвать интерес у жертвы», — объясняет Антон Черепанов, исследователь угроз ESET.
Данная кибероперация получила название Groundbait («Прикормка») после одной из проведенных кампаний, в рамках которой для осуществления заражения использовался прайс-лист рыболовных прикормок вместо громких тем, связанных с нынешней украинской геополитической ситуацией и войной на Донбассе, используемых в большинстве других кампаний во время проведения данной операции, чтобы заинтересовать жертву открыть вредоносное вложение.
«Для названия операции мы выбрали данный документ-приманку, который мы до сих пор не в состоянии объяснить», — говорит Роберт Липовский.
Так же, как и во время других целенаправленных атак, определить источник осуществления кибератаки очень сложно. Согласно проведенному исследованию, можно предположить, что злоумышленники осуществляют атаки с территории Украины, а основной целью данной операции является политически мотивированный кибершпионаж. «В данный момент мы можем лишь предполагать, кто стоит за сериями данных кибератак. Помимо окупированных территорий, мишенями данной вредоносной кампании также стали украинские государственные чиновники, политики и журналисты», — делает заключение Роберт Липовский.
В связи с высокой активностью шпионских вредоносных программ специалисты ESET настоятельно рекомендуют пользователям соблюдать основные правила безопасности при работе за компьютером, не открывать вложения электронных писем, полученных от неизвестных отправителей (каким бы привлекательным ни было их название), а также использовать надежные и проверенные антивирусные продукты (например, комплексные решения ESET Enpoint Protection Advanced и ESET Smart Security для защиты корпоративных и домашних пользователей соответственно), которые обеспечивают эффективную защиту даже от неизвестных видов угроз.