Хакеры проникли в сеть правительства Германии через сотрудника МИДа

Олег Иванов 23 Мая 2018 - 13:36

...

Немецкие СМИ сообщили, что спецслужбам стало известно, как именно киберпреступники проникли в правительственные сети Германии. Оказалось, что злоумышленники действовали через сотрудника МИДа. Уточняется, что правительственный работник не знал, что помогает преступникам.

Схема атаки злоумышленников начиналась с платформ для удаленного обучения федеральных чиновников, в чьи сети хакерам и удалось проникнуть. Спецслужбы сообщили, что есть все основания подозревать киберпреступную группу Turla (также Snake и Uroburos).

Правоохранителям удалось выяснить, что злоумышленники использовали специальную вредоносную программу, которая до определенного момента оставалась неактивной. Активировать ее можно было удаленно, используя электронную почту.

Для этого атакующие создали специальный аккаунт, якобы принадлежащий подруге одного из сотрудников МИДа (были использованы ее реальные данные). Таким образом, им удались избежать обнаружения, так как письма имели с виду легитимный характер переписки между двумя влюбленными.

Однако в электронных письмах также содержался некий набор команд, заставлявший вредоносную программу, находящуюся в состоянии спячки, пробуждаться.

Теперь власти обеспокоены тем, как защитить себя от подобной угрозы в будущем. Предполагается, что где-то в сетях могут находится похожие вредоносные программы, которые просто в данный момент дремлют, но по команде готовы будут осуществить злонамеренную деятельность.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 12 Сентября 2025 - 13:52

Бэкдоры Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare использует цепочку бэкдоров в атаках на компании РФ и Беларуси

Кибергруппа Head Mare снова напомнила о себе — и на этот раз с обновлённым арсеналом. По данным «Лаборатории Касперского», летом 2025 года они провели новую волну атак на российские и белорусские компании.

Главное отличие от мартовских кампаний — теперь злоумышленники не ограничиваются одним бэкдором, а устанавливают целую цепочку.

В ход идут PhantomRemote, PhantomCSLoader и PhantomSAgent. Иногда к этому добавляются и SSH-туннели, чтобы закрепиться в инфраструктуре и держать удалённый доступ под рукой. По сути, логика проста: если один инструмент заметят и удалят, остальные останутся работать.

Атака по-прежнему стартует со стандартного сценария — рассылки писем с вредоносным вложением. В этот раз это был PhantomRemote, через который можно выполнять команды на заражённой машине.

Дальше в систему подтягиваются дополнительные компоненты — PhantomCSLoader и PhantomSAgent. Они написаны на разных языках, похожи по принципу связи с командным сервером, но отличаются внутренними механизмами. Такая комбинация усложняет задачу защитникам.

Хорошая новость в том, что продукты «Лаборатории Касперского» детектируют всю эту цепочку и способны блокировать атаки Head Mare.