Масштабная кибератака "Операция Buhtrap" была нацелена на российский бизнес. Эксперты международной антивирусной компании ESET обнаружили уязвимость и сообщили, что атака длилась как минимум год. Приоритетной целью атаки стали банки. Согласно статистике, большинство заражений пришлось на пользователей из России - 88%, сообщает "Российская газета".

Хакеры устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к фишинговому письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг, второй - контракт мобильного оператора "Мегафон".

Если пользователь открывает вредоносный документ на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив с вредоносными модулями. Чтобы установить контроль над зараженным ПК, в "Операции Buhtrap" используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows и создать новый аккаунт в операционной системе.

"Схема заражения выглядит следующим образом: злоумышленники компрометируют один ПК компании, отправив сотруднику фишинговое сообщение с эксплойтом. Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции", - объяснил вирусный аналитик ESET Жан-Йен Бутен.

Эксперты ESET отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за "Операцией Buhtrap", используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.

"Наибольшая опасность целенаправленных атак как раз в их продолжительности. Если раньше злоумышленники были менее организованы и действовали по принципу "попробовал - не получилось - пошел дальше", используя при этом, как правило, какую-то одну уязвимость или небольшой фиксированный набор уязвимостей, то при целенаправленной атаке хакер или группа хакеров выбирают себе конкретную цель и подходят к ее атаке творчески и с максимальной усидчивостью, - отметил генеральный директор Zecurion Алексей Раевский. - Не удивительно, что при таком подходе сдаются как крупнейшие компании, так и государственные структуры. Также опасность заключается в том, что при целенаправленных атаках хакеры стремятся похитить либо денежные средства, либо информацию, критически важную для атакуемой организации, тогда как обычная атака может осуществляться с различными, менее разрушительными целями, например, проверить новую уязвимость, развлечься, самоутвердиться".

Эксперты по информационной безопасности рекомендуют компаниям при защите от таргетированных атак обращать больше внимания на интеллектуальные средства обнаружения и предотвращения вторжений. Интеллектуальные системы анализируют сетевую активность и умеют отличать отклонения от стандартных потоков данных, которые могут говорить о ведущейся атаке.

Юлия Воронина

Полиция задержала хакеров, похитивших более 50 млн рублей с карточек

Полиция задержала преступников, которые похищали деньги с карточек клиентов банков при помощи программы-вируса. Преступную группу задержали сотрудники управления "К" Министерства внутренних дел РФ.

Как сообщает ТАСС со ссылкой на пресс-центр МВД, в результате задержания аферистов сумма предотвращенного ущерба клиентам банка составляет более 50 млн рублей. "Оперативникам удалось выйти на след создателя вируса. Им оказался 25-летний житель Челябинской области. Кроме него в состав группы входило еще четыре человека. Все они задержаны", - рассказали в МВД.