Против оборонных корпораций США ведется кибервойна

Александр Панасенко 08 Сентября 2012 - 09:46

Государство

Symantec

Кража данных

Вредоносные программы

...

Компания Symantec опубликовала результаты исследования Elderwood Project - группировки киберпреступников, деятельность которой антивирусный разработчик отслеживает с 2009 г. и называет беспрецедентной. Атакам Elderwood Project подвергаются организации, входящие в цепочки поставок предприятий оборонной промышленности, главным образом, ведущие компания отрасли.

Основной задачей организаторов Elderwood Project в Symantec называют шпионаж в компаниях: похищение планов работ, рабочих контактов, информации об инфраструктуре компаний и иной, как правило, секретной интеллектуальной собственности.

Symantec не называет конкретные цели атак Elderwood Project, но уточняет, что атакованные компании производят электронные и механические компоненты вооружений и систем по заказу ведущих оборонных корпораций США.

Эксперты предполагают, что организаторы атак рассчитывают на невыскоий уровень защищенности производителей компонент по сравнению с крупными компаниями.

Помимо компаний оборонного сектора Symantec называет в числе целей Elderwood Project финансовые структуры, нефтегазовые компании учреждения образования и даже правительственные организации Америки.

Помимо американских корпораций атакам Elderwood Project подвергались компании Канады, Китая, Гонконга и Австралии, а также неправительственные организации, работающие в сфере прав человека на Тайване, в Гонконге и Китае.

Интересная инфографика Symantec об Elderwood Project

Особенностью Elderwood Project является владение огромным числом уязвимостей «нулевого дня». Эксплойтами и уязвимостями «нулевого дня» (0-day) называются вновь открытые уязвимости ПО, данными о которых не располагает индустрия инфромационной безопасности, в силу чего борьба против них затруднительна.

Если в широко известном черве Stuxnet, атаковавшем объекты ядерной промышленности Ирана применялись 4 уязвимости «нулевого дня», то в Elderwood Project в 2011 г. их было использовано восемь.

В числе атакуемых продуктов Symantec называет Microsoft Internet Explorer 8, Adobe Flash Player различных версий, используемый на различных платформах, включая Linux и Microsoft XML Core Services, передает safe.cnews.ru.

Применение такого количества эксплойтов к уязвимостям нулевого дня говорит о высоком уровне подготовки, сообщает Symantec. Эксперты компании полагают, что хакеры-разработчики Elderwood Project либо получили доступ к исходному коду широко используемых программных приложений, либо провели их декомпиляцию, для чего им требовалось привлечь «очень и очень серьезные ресурсы».

«Раньше мы никогда не видели ничего подобного», - цитирует Huffington Post слова Орлы Кокс(Orla Cox), старшего менеджера по безопаности Symantec: «Кто-то им за это платит», - говорит она.

«Определить местоположение авторов атаки очень трудно», - говорит Орла Кокс: «Они хорошо скрывают следы, используя прокси-серверы и командные сервера в различных странах мира. Достаточными деньгами для поддержки такой деятельности может обладать организованная преступность или государство».

Стоит заметить, что гипотеза с доступом к исходным кодам продуктов кажется весьма вероятной в силу того, что эксперты Symantec связывают хакеров Elderwood Project с авторами трояна Aurora, с помощью которого в 2009 г. были атакованы Google, Adobe и другие крупные разработчики ПО, у которых и могли быть похищены исходники программ.

В опубликованных материалах Symantec называют два применяемых в Elderwood Project основных пути поражения целевых компьютеров. Помимо относительно традиционной практики рассылки «фишинговых писем», ими применяется «стратегия водопоя» (watering hole).

Как пишет эксперт Symantec по информационной безопасности Андрей Зеренков, вместо того, чтобы активно нападать на интересующие системы, злоумышленники заражают сайты, которые посещают интересующие их конкретные жертвы и встраивают эксплойты на страницы подобно тому, как хищник ожидает жертву у водопоя. В результате посещения зараженного сайта целевой ПК подвергается атаке, и в его систему устанавливается троянская программа.

В своем докладе о работе Elderwood Project Symantec предупреждает, что риску быть атакованными подвергаются любые компании, находящиеся в цепочке оборонных поставок, в том числе их дочерние компании и деловые партнеры.

В 2013 г. нужно ожидать нового раунда атак с использованием 0-day уязвимостей в Adobe Flash и Internet Explorer.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Яков Шпунт 15 Апреля 2026 - 10:39

Мошенничество Онлайн-мошенничество Домашние пользователи

Лжегазовщики атакуют россиян в онлайне и офлайне

Плановые проверки газового оборудования стали поводом для новой волны массовых атак мошенников. При этом злоумышленники действуют как дистанционно — через телефонные звонки и фишинг, — так и при личном контакте с потенциальными жертвами.

Как отмечают эксперты, опрошенные «Известиями», весенние проверки газового оборудования традиционно охватывают большое число граждан. Это значительно повышает шансы злоумышленников войти в доверие и реализовать свои схемы.

«В данном сценарии мошенники делают ставку на массовость, а не на максимальную выгоду с каждой отдельной жертвы», — отметил руководитель BI.ZONE Digital Risk Protection Дмитрий Кирюшкин.

По его словам, злоумышленники часто используют бумажные объявления с QR-кодами, ведущими на фишинговые ресурсы. Там пользователям предлагают оставить данные якобы для проведения проверки газового оборудования.

Также возможен сценарий атаки, который начинается с попытки получить код из СМС — якобы для подтверждения записи на проверку. После этого мошенники переходят к многоэтапной схеме, направленной на кражу денег.

В BI.ZONE AntiFraud выделяют три основных сценария телефонных атак:

Мошенники настаивают на визите в квартиру или дом — цель заключается в получении оплаты за «диагностику» или замену оборудования по завышенным ценам.
Требование оплатить «штраф» или «проверку» по указанным реквизитам.
Сбор персональных данных (паспортные данные, ИНН, СНИЛС).

Как рассказал ведущий аналитик департамента Digital Risk Protection компании F6 Евгений Егоров, в ряде случаев лжегазовщики пытались взыскивать несуществующие долги даже в домах, где отсутствует газоснабжение.

GR-директор «Кода Безопасности» Александра Шмигирилова отмечает, что злоумышленники часто переходят к личному контакту, разорвать который сложнее, чем прекратить телефонный разговор или переписку. При этом они активно используют методы психологического давления, чтобы продать «оборудование» по завышенной цене или убедить оплатить несуществующую задолженность через QR-код.

По словам ведущего инженера-аналитика Аналитического центра кибербезопасности компании «Газинформсервис» Максима Федосенко, в текущем году стоит ожидать гибридных атак. В таких схемах жертву сначала обрабатывают через мессенджеры от имени якобы управляющих или ресурсоснабжающих компаний, а затем направляют на фишинговые сайты для получения доступа к данным или средствам. Также возможны попытки установки вредоносных приложений под видом сервисов для «мониторинга утечек газа» или «оплаты ЖКХ без комиссии».

Эксперт по кибербезопасности Angara Security Никита Новиков напомнил, что информация о проверках газового оборудования публикуется в официальных источниках — на сайтах газоснабжающих компаний и в СМИ. При этом такие организации не взаимодействуют с гражданами через мессенджеры или личные номера телефонов.

«Будьте внимательны: не оставляйте данные на подозрительных сайтах и не сообщайте коды из СМС — в большинстве случаев это признаки мошенничества», — подчеркнул он.

Также, как отмечает аналитик Координационного центра доменов .RU/.РФ Евгений Панков, проверить подозрительный сайт можно с помощью сервиса WHOIS+. Если ресурс зарегистрирован недавно и оформлен на частное лицо, это может свидетельствовать о его мошеннической природе.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!