Перейти к основному содержанию
Реклама
Прямой эфир
Экономика
В России выросло количество выдач ипотеки в декабре
Армия
Народный фронт к Новому году передал 10 т подарков военнослужащим в ЛНР
Мир
Россия будет фиксировать факты применения Киевом токсичных химикатов против ВС РФ
Мир
США в январе вернутся к фиксированному потолку госдолга
Мир
Кобахидзе назвал наградой санкции США против Иванишвили
Общество
Вильфанд спрогнозировал аномально теплый январь на Урале и в Западной Сибири
Экономика
Банки перестали давать IT-компаниям кредиты под новые проекты
Мир
Президента Индонезии Субианто пригласили на 80-летие Победы в Москву
Мир
Словакия будет терять по €500 млн в год в случае потери транзита газа из РФ
Общество
В России заблокировали около 6 млн опасных БАДов
Экономика
Биткоин стал самым выгодным активом по итогам 2024 года
Мир
Сенатор США Майк Ли назвал Украину средством отмывания денег
Мир
Количество бездомных в США достигло исторического максимума
Авто
За год эксплуатации автомобили из Китая потеряли в цене почти половину
Общество
Синоптики спрогнозировали мокрый снег и гололед в Москве 28 декабря
Общество
Глава Мариуполя заявил о сдаче более 1 тыс. многоквартирных домов после капремонта
Мир
Вандалы повредили памятник советским солдатам в Словакии
Наука и техника
Ученые предложили датировать исторические события с помощью углей
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
Вкл
Выкл

Государственные организации из России и Белоруссии подверглись атаке новой хакерской группировки — Sticky Werewolf, рассказали «Известиям» специалисты по информационной безопасности. Она «работает» следующим образом — госорганизации получают вредоносный документ, с помощью которого происходит заражение ПК. Таким образом уже была атакована администрация Красноярского края, Брестский исполнительный комитет, а также зафиксированы исковые документы от имени Савеловского суда. Эксперты отметили, что данная группировка умело использует социальную инженерию в совокупности с мощными программными средствами, и порекомендовали внимательно относиться к любым письмам, приходящим на рабочую электронную почту.

Как происходит хакерская атака

Государственные организации из России и Белоруссии атакует новая хакерская группировка — Sticky Werewolf («Липкий оборотень»), рассказали «Известиям» специалисты по информационной безопасности компании BI.ZONE. Эта группировка активна минимум с апреля и совершила более 30 атак. Для создания фишинговых писем используется коммерческое вредоносное программное обеспечение (ПО).

— Ссылки для мошеннических писем злоумышленники создают с помощью сервиса IP Logger. Он позволяет собирать информацию о кликнувших пользователях: время перехода, IP-адрес, страну и город, версию браузера и операционную систему, это помогает Sticky Werewolf отсеять системы, которые не представляют для них интереса, и сосредоточить атаки на наиболее приоритетных, — объяснил руководитель управления киберразведки BI.ZONE Олег Скулкин.

Кроме того, с IP Logger группировка может использовать собственные доменные имена при создании ссылок. Это затрудняет распознавание фишинга, поскольку адрес не выглядит подозрительно, пояснил специалист.

компьютеры
Фото: ИЗВЕСТИЯ/Зураб Джавахадзе

По словам экспертов по безопасности, ссылки в письмах ведут на вредоносные файлы с расширениями .exe или .scr, которые замаскированы под документы Word или PDF. Например, таким образом были атакованы администрация Красноярского края (злоумышленники прислали в организацию фейковое предупреждение от МЧС), Брестский исполнительный комитет (туда пришел документ якобы от генеральной прокураторы Белоруссии), также мошенники отправляли документы от имени Савеловского суда Москвы, рассказал Олег Скулкин. «Известия» направили запросы в вышеперечисленные организации.

Открыв файл, жертва видит ожидаемый контент. В это время в фоновом режиме на устройство устанавливается коммерческое вредоносное ПО NetWire RAT, оно позволяет атакующим собирать информацию о скомпрометированной системе, получать данные о нажатиях клавиш, видео с экрана и веб-камеры, записывать звук микрофона и осуществлять другие действия с целью шпионажа, — пояснил Олег Скулкин.

Справка «Известий»

Коммерческое вредоносное ПО NetWire существует с 2012 года. Несмотря на то что в марте нынешнего года его автор был арестован спецслужбами в Хорватии, оно активно используется злоумышленниками, которые приобретают его на даркнет-форумах в среднем за $100.

NetWire копируется на устройство во временную папку под видом легитимного приложения. Чтобы дополнительно затруднить его обнаружение, Sticky Werewolf использует софт, который обеспечивает обфускацию — противодействие анализу вредоносной активности, рассказал эксперт.

Данная хакерская группировка могла действовать со стороны Украины, полагает руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. По его словам, этим можно объяснить то, что они распространяли шпионское ПО в ведомства Союзного государства.

компьютеры
Фото: ИЗВЕСТИЯ/Павел Бедняков

Как защититься от кибератак

В качестве основного вектора атаки данная хакерская группировка использует вредоносную рассылку. Она нацелена на те компании, сотрудники которых не обладают базовой грамотностью в сфере информационной безопасности и открывают подозрительные ссылки, отметил директор по инновационным проектам ГК InfoWatch Андрей Арефьев.

— Отсюда два вывода: с одной стороны, можно говорить, что атака предпринималась с учетом понимания уязвимостей, связанных со знаниями людей. Соответственно, противодействовать здесь можно путем постоянного обучения и тренировки сотрудников, для того чтобы они легко определяли фишинговые рассылки и были готовы не идти на поводу у злоумышленников, то есть не открывали бы письма, которые очень похожи на фишинговые, — объяснил специалист.

Второй важный элемент — это развитие навыка оперативного взаимодействия сотрудников со службами информационной безопасности, чтобы своевременно предупреждать последних о фишинговых атаках и тем самым содействовать быстрой и эффективной блокировке вредоносных рассылок. Это также позволит свести к минимуму случаи открытия таких писем людьми, которые в силу разных причин еще не сталкивались с подобными случаями, подчеркнул Андрей Арефьев.

компьютеры
Фото: ИЗВЕСТИЯ/Кристина Кормилицына

— Эта атака — яркий пример того, что злоумышленники могут применять ранее известное популярное вредоносное ПО, используя загрузчики, чтобы усложнить анализ и повысить его эффективность, поэтому важно соблюдать базовые рекомендации: установить решение для защиты почты, которое автоматически будет отправлять подобные письма в спам, регулярно обновлять антивирусные базы в уже установленном защитном ПО, а если такового нет — установить эффективное решение для обеспечения безопасности всех типов конечных узлов, которое будет обнаруживать и блокировать массовые киберугрозы, — объяснил эксперт по кибербезопасности «Лаборатории Касперского» Леонид Безвершенко.

Кроме того, следует придерживаться основных правил кибергигиены, добавил руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов. При получении подобных писем всегда необходимо задавать следующие вопросы — должен ли писать отправитель, внимательно оценивать вопросы, которые он задает, а также проверять, есть ли нетипичные почтовые вложения. Все эти факторы помогут предотвратить кибератаку, резюмировал специалист.

Читайте также
Прямой эфир