Компания ESET — лидер в области проактивного обнаружения — предупреждает о новой волне фишинг-атак группы кибершпионов Sednit. Целями злоумышленников уже стали более 1000 политических деятелей и публичных лиц с разных стран мира.
Занимаясь преступной деятельностью не менее с 2004 года, группа Sednit осуществляет сложные атаки, которые способны обходить типичную сетевую безопасность организаций. В перечне жертв шпионов фигурируют Национальный комитет Демократической партии США (DNC), немецкий парламент и телевизионная французская сеть TV5MONDE.
Однако на этом киберпреступники не остановились. По данным исследования компании ESET с 16 марта по 14 сентября 2015 года целями группы шпионов стали около 1888 почтовых ящиков, большинство из которых Gmail, которые принадлежат частным лицам.
В частности, среди целей злоумышленников специалисты ESET зафиксировали политических лидеров и руководителей Национальной полиции Украины, представителей НАТО, членов Партии народной свободы России, «Шалтай-Болтай» (анонимная российская группа, известная публикацией частных электронных писем российских политиков), российских политических диссидентов, журналистов из Восточной Европы, ученых, которые посещают российские университеты, а также чеченские организации.
Кроме этого, в списке целей группы также есть посольства ряда стран, в том числе Алжира, Бразилии, Колумбии, Джибути, Индии, Ирака, Северной Кореи, Киргизстана, Ливана, Мьянмы, Пакистана, Южной Африки, Туркменистана, Объединенных Арабских Эмиратов, Узбекистана и Замбии, а также министерства обороны Украины, Аргентины, Бангладеш, Южной Кореи и Турции.
Целью киберпреступников является похищение учетных данных пользователей электронной почты. Жертвам направляются фишинговые письма со ссылками на фальшивые страницы для входа в почтовый ящик, где пользователям предлагается ввести имя пользователя и пароль.
При осуществлении атак к письмам электронной почты могут прикрепляться вредоносные файлы или ссылки на сайты, которые содержат набор эксплойтов. С целью инфицирования компьютера жертвы с помощью вредоносного вложения электронной почты группа использует уязвимости в Microsoft Office, Excel, Word, Adobe Flash и Adobe Reader.
Для введения в заблуждение пользователей киберпреступники используют методы социальной инженерии, таким образом, подталкивая жертв открывать вложения или переходить по ссылкам в письме без учета возможных рисков.
Во многих вредоносных атаках на фальшивые веб-сайты с вредоносным программным обеспечением группа Sednit заманивает пользователей заголовками настоящих новостных статей (например, «Военное преимущество Запада ослабляется, – предупреждает доклад», «Несмотря на атаки ИГИЛ, Северная Корея остается "университетом" глобальных угроз»).
Увеличивает шансы успешного заражения системы с минимальным вмешательством жертвы использование злоумышленниками 0-дневных уязвимостей.
Согласно исследованию компании ESET, только в 2015 году угроза использовала не менее шести 0-дневных уязвимостей в Windows, Adobe Flash и Java. Использовать такое количество ранее неизвестных уязвимостей, для которых отсутствуют обновления, обычным киберпреступникам было бы не под силу. Поскольку на их открытие и использование требуются значительные умения, время и ресурсы.
Кроме этого, для осуществления шпионской деятельности группа киберпреступников создала десятки программ для пользователей, модульные бэкдоры, буткиты и руткиты. Таким образом, уровень сложности атак Sednit может свидетельствовать о том, что хакерская группа спонсируется на высоком, возможно, государственном уровне.
В ходе исследования специалисты ESET определили время суток, когда наблюдалась активность злоумышленников. «Деятельность киберпреступников соответствует рабочему времени с 9 утра до 5 вечера в часовом поясе UTC+3, иногда с активностью в вечернее время», — говорится в исследовании.
В связи с возможной опасностью дальнейшего распространения угрозы специалисты ESET рекомендуют пользователям использовать надежные антивирусные решения и соблюдать основные правила безопасности для защиты от фишинг-атак.