Государственные организации из России и Белоруссии подверглись атаке новой хакерской группировки — Sticky Werewolf, рассказали «Известиям» специалисты по информационной безопасности. Она «работает» следующим образом — госорганизации получают вредоносный документ, с помощью которого происходит заражение ПК. Таким образом уже была атакована администрация Красноярского края, Брестский исполнительный комитет, а также зафиксированы исковые документы от имени Савеловского суда. Эксперты отметили, что данная группировка умело использует социальную инженерию в совокупности с мощными программными средствами, и порекомендовали внимательно относиться к любым письмам, приходящим на рабочую электронную почту.
Как происходит хакерская атака
Государственные организации из России и Белоруссии атакует новая хакерская группировка — Sticky Werewolf («Липкий оборотень»), рассказали «Известиям» специалисты по информационной безопасности компании BI.ZONE. Эта группировка активна минимум с апреля и совершила более 30 атак. Для создания фишинговых писем используется коммерческое вредоносное программное обеспечение (ПО).
— Ссылки для мошеннических писем злоумышленники создают с помощью сервиса IP Logger. Он позволяет собирать информацию о кликнувших пользователях: время перехода, IP-адрес, страну и город, версию браузера и операционную систему, это помогает Sticky Werewolf отсеять системы, которые не представляют для них интереса, и сосредоточить атаки на наиболее приоритетных, — объяснил руководитель управления киберразведки BI.ZONE Олег Скулкин.
Кроме того, с IP Logger группировка может использовать собственные доменные имена при создании ссылок. Это затрудняет распознавание фишинга, поскольку адрес не выглядит подозрительно, пояснил специалист.
По словам экспертов по безопасности, ссылки в письмах ведут на вредоносные файлы с расширениями .exe или .scr, которые замаскированы под документы Word или PDF. Например, таким образом были атакованы администрация Красноярского края (злоумышленники прислали в организацию фейковое предупреждение от МЧС), Брестский исполнительный комитет (туда пришел документ якобы от генеральной прокураторы Белоруссии), также мошенники отправляли документы от имени Савеловского суда Москвы, рассказал Олег Скулкин. «Известия» направили запросы в вышеперечисленные организации.
— Открыв файл, жертва видит ожидаемый контент. В это время в фоновом режиме на устройство устанавливается коммерческое вредоносное ПО NetWire RAT, оно позволяет атакующим собирать информацию о скомпрометированной системе, получать данные о нажатиях клавиш, видео с экрана и веб-камеры, записывать звук микрофона и осуществлять другие действия с целью шпионажа, — пояснил Олег Скулкин.
Справка «Известий»Коммерческое вредоносное ПО NetWire существует с 2012 года. Несмотря на то что в марте нынешнего года его автор был арестован спецслужбами в Хорватии, оно активно используется злоумышленниками, которые приобретают его на даркнет-форумах в среднем за $100.
NetWire копируется на устройство во временную папку под видом легитимного приложения. Чтобы дополнительно затруднить его обнаружение, Sticky Werewolf использует софт, который обеспечивает обфускацию — противодействие анализу вредоносной активности, рассказал эксперт.
Данная хакерская группировка могла действовать со стороны Украины, полагает руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. По его словам, этим можно объяснить то, что они распространяли шпионское ПО в ведомства Союзного государства.
Как защититься от кибератак
В качестве основного вектора атаки данная хакерская группировка использует вредоносную рассылку. Она нацелена на те компании, сотрудники которых не обладают базовой грамотностью в сфере информационной безопасности и открывают подозрительные ссылки, отметил директор по инновационным проектам ГК InfoWatch Андрей Арефьев.
— Отсюда два вывода: с одной стороны, можно говорить, что атака предпринималась с учетом понимания уязвимостей, связанных со знаниями людей. Соответственно, противодействовать здесь можно путем постоянного обучения и тренировки сотрудников, для того чтобы они легко определяли фишинговые рассылки и были готовы не идти на поводу у злоумышленников, то есть не открывали бы письма, которые очень похожи на фишинговые, — объяснил специалист.
Второй важный элемент — это развитие навыка оперативного взаимодействия сотрудников со службами информационной безопасности, чтобы своевременно предупреждать последних о фишинговых атаках и тем самым содействовать быстрой и эффективной блокировке вредоносных рассылок. Это также позволит свести к минимуму случаи открытия таких писем людьми, которые в силу разных причин еще не сталкивались с подобными случаями, подчеркнул Андрей Арефьев.
— Эта атака — яркий пример того, что злоумышленники могут применять ранее известное популярное вредоносное ПО, используя загрузчики, чтобы усложнить анализ и повысить его эффективность, поэтому важно соблюдать базовые рекомендации: установить решение для защиты почты, которое автоматически будет отправлять подобные письма в спам, регулярно обновлять антивирусные базы в уже установленном защитном ПО, а если такового нет — установить эффективное решение для обеспечения безопасности всех типов конечных узлов, которое будет обнаруживать и блокировать массовые киберугрозы, — объяснил эксперт по кибербезопасности «Лаборатории Касперского» Леонид Безвершенко.
Кроме того, следует придерживаться основных правил кибергигиены, добавил руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов. При получении подобных писем всегда необходимо задавать следующие вопросы — должен ли писать отправитель, внимательно оценивать вопросы, которые он задает, а также проверять, есть ли нетипичные почтовые вложения. Все эти факторы помогут предотвратить кибератаку, резюмировал специалист.