Хакеры атаковали авиаперевозчиков. NordStar до сих пор не летает

Хакеры атаковали авиаперевозчиков. NordStar до сих пор не летает

Хакеры атаковали авиаперевозчиков. NordStar до сих пор не летает

DDoS-атакам подверглись сайты семи авиакомпаний. В пятницу вышли из строя веб-ресурсы «России», «Авроры», АЛРОСА, «Ямала», NordStar, Smartavia и «Якутии».

В «России» позже уточнили причину неисправности сервиса. Хакеры взломали провайдера, который предоставляет интернет-услуги. “Ямал” также официально подтвердил факт DDoS-атаки.

Сейчас работа почти всех пострадавших порталов восстановлена. На момент публикации можно без проблем сформировать заказ на сайтах “России”, “Авроры”, АЛРОСА и “Ямала”. Поиск и оформление билета на SmartAvia из Москвы в Калининград занял несколько секунд. А вот перелет из Нерюнгри в Новосибирск на 23 мая “Якутией” удалось оформить только со второй попытки, перезагрузив страницу.

До сих пор “не летает” сайт NordStar. На утро понедельника главная страница сначала ещё открывалась, но сам поиск работал медленно. Так и не удалось перейти к оформлению билета на рейс Москва — Геленджик: страница висела, а затем выдавала ошибку. К моменту публикации “Главная” NordStar выглядела так:

 

Напомним, в конце марта масштабной DDoS-атаке подверглись информационные ресурсы Росавиации. Ведомству пришлось перейти на бумажный документооборот.

По данным РБК, три недели не было доступа к электронному реестру авиационных учебных центров. Ведомство потеряло документы, отправленные до хакерской атаки по электронной почте. Пострадало 70% служебной информации, часть которой до сих пор не удалось восстановить. Ущерб может оцениваться в 80 млн руб.

При этом сам руководитель Росавиации Александр Нерадько в конце марта отрицал масштабный ущерб от DDoS-атаки. Глава агентства утверждал, что все «спокойно, все работает в плановом режиме». Генпрокуратура уже начала внеплановую проверку ИТ-инфраструктуры Росавиации.

Фишеры атакуют российский авиапром через счета и ставят AnyDesk

Исследователи Seqrite обнаружили фишинговую кампанию против российских аэрокосмических компаний. Схема получилась уже знакомая: письмо якобы со счётом от реальной авиационной организации. Но внутри не бухгалтерия, а удалённый доступ к компьютеру жертвы через AnyDesk.

Атака начинается с письма, отправленного от имени ВНИИР. Домен похож на настоящий, тема про счёт, оформление с логотипом Минпромторга. Для убедительности всё как надо.

Однако фейковый домен зарегистрировали всего за несколько дней до рассылки, а список получателей скрыт, что намекает на массовую отправку.

 

Во вложении лежит запароленный архив. Пароль заботливо указан в тексте письма: пользователю удобно, защитным системам — уже не очень. Внутри находится дроппер, собранный с помощью Smart Install Maker. После запуска он показывает на экране PDF-приманку со счётом, а сам тем временем распаковывает файлы во временную папку и тянет с командного сервера второй архив.

 

В этом наборе — портативный AnyDesk, почтовая утилита Blat, Tray Minimizer и batch-скрипт. Последний делает всю грязную работу: ждёт около минуты, чтобы пережить песочницы, задаёт фиксированный пароль AnyDesk, копирует его в ProgramData и запускает. После этого операторы могут заходить на машину без лишних вопросов и всплывающих просьб.

Затем скрипт упаковывает настройки AnyDesk в защищённый архив и отправляет их злоумышленникам через Blat по SMTP. Для закрепления создаётся задача с кривым названием Auto apdate, а временные файлы удаляются, чтобы расследователям было веселее копаться в следах.

 

Seqrite подозревает связь с группой Rare Werewolf, также известной как Librarian Ghouls и Rezet. Её активность фиксируют как минимум с 2019 года, а среди целей ранее были организации в России, Беларуси и Казахстане, включая аэрокосмический сектор и тяжёлую промышленность.

Главная фишка атаки — минимум экзотики. Вместо редкого вредоноса используются легитимные инструменты: AnyDesk, Blat и переименованный WinRAR.

RSS: Новости на портале Anti-Malware.ru