Исследователи говорят, что иранская хакерская группа APT33 несет ответственность за недавние атаки на Ближнем Востоке и в Европе.
Серию недавних атак с использованием семейства вредоносных программ для очистки данных Shamoon приписывают иранской хакерской группе APT33.
В среду группа McAfee Advanced Threat Research сообщила, что APT33 — или группа, маскирующаяся под APT33 — вероятно, несет ответственность за недавнюю кампанию, направленную против промышленных игроков на Ближнем Востоке и в Европа.
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
Это было ранее в этом месяце что ZDNet узнала о присутствии вредоносного ПО Shamoon в сетях итальянского нефтегазового подрядчика Saipem. Компания работает на Ближнем Востоке, в Индии, Италии и Шотландии.
Макафи сказано в сообщении в блоге что недавние кампании на основе Shamoon были обнаружены не только непосредственно нацеленными на компании, но также использовались для атак на цепочки поставок.
Шамун – чрезвычайно разрушительное вредоносное ПО предназначен для очистки зараженных систем путем перезаписи информации мусорными данными.
За последние годы были зафиксированы две версии вредоносного ПО. Самый ранний инцидент с участием Шамуна состоялся в 2012 году против нефтяной компании Saudi Aramco, что привело к уничтожению по меньшей мере 30 000 компьютеров, тогда как в 2016 и 2017 годах использовались как обновленные очистители Shamoon v.2, так и очистители Stonedrill.
Во всех этих случаях зараженные системы также были размазаны пропагандой, включая изображения горящего американского флага и утонувшего сирийского ребенка.
За последние несколько недель был обнаружен новый вариант Shamoon, атакующий нефтяные, газовые, энергетические, телекоммуникационные и правительственные организации. посредством фишинговых кампаний, связанных с предложениями о работе, и вредоносных веб-сайтов, которые обманом заставляют жертв предоставить свою учетную запись. реквизиты для входа.
Смотрите также: Удалите себя из Интернета и сотрите свое присутствие в Интернете
Последняя версия Shamoon была переработана по модульному принципу и содержит ряд различных функций. Новые образцы Wiper имеют название Filerase.
Вредоносная программа содержит список целевых компьютеров, программу для стирания файлов и код, способный извлекать информацию, касающуюся к операционной системе целевого компьютера, модулю удаленного выполнения очистителя и самому новому очистителю, который удаляет все найденные файлы. исполнение.
Стеклоочиститель имеет три варианта; работа в бесшумном режиме, всегда включенный сценарий повышения привилегий и трекер для записи количества удаленных папок и файлов.
Хотя последняя версия Shamoon тщательно зашифрована, пакет инструментов .Net, распространяющий Shamoon v.3 и Filerase, не получил такой защиты. После обратного проектирования пакета, который не был запутан, исследователи обнаружили следующее изображение ASCII, напоминающее арабский язык. текст из Корана, переведенный как «погибнут руки Отца пламени» или «погибнет сила Абу Лахаба, и он погибнет». погибнуть».
McAfee полагает, что в последней кампании Shamoon участвовало несколько разработчиков, которая была «подготовлена за несколько месяцев вперед [..] с целью уничтожения Wiper».
vrenture.com/: Российские влиятельные лица процветали в Instagram после давления со стороны Facebook и Twitter.
«Определить причину этой атаки сложно, потому что у нас нет всех частей головоломки», — говорит Макафи. «Мы видим, что эта атака соответствует методам Shamoon v.2. Политические заявления были частью каждой атаки Шамуна. [...] Теперь мы видим стих из Корана, который может указывать на то, что противник имеет отношение к другому ближневосточному конфликту и хочет сделать заявление».
Конечно, вполне возможно, что иранские хакеры могут быть причиной этого, особенно учитывая недавнюю политическую напряженность между страной и Соединенными Штатами. Президент Трамп объявил о выходе США из ЕС. Ядерная сделка 2015 года, созданный администрацией Обамы еще в мае.
Техреспублика: 5 крупнейших уязвимостей безопасности 2018 года
Хотя многие кибератаки, приписываемые Ирану, в последние годы были сосредоточены на Ближнем Востоке, политическая напряженность вызвала предположения, что в будущем их взгляды могут быть обращены на США. кампании.
FireEye был среди первых для отслеживания APT33, который ранее приписывался атакам как в военной, так и в коммерческой аэрокосмической сфере в США, Саудовской Аравии и Южной Корее. Помимо Shamoon, к связанным вредоносным программам относятся Shapeshift, Dropshot, Nanocore и Alfa Shell.
Наш лучший выбор технических подарков
Предыдущее и связанное освещение
- Это мошенничество с деловой электронной почтой распространяет трояны через облачное хранилище Google
- Хакеры заработали $1,7 млн на торговых данных, украденных с платежных порталов правительства США.
- Facebook защищает предоставление технологическим гигантам доступа к обширным пользовательским данным