Хакеры из новой группировки ChamelGang атакуют учреждения в десяти странах мира, включая Россию, сообщает Коммерсантъ со ссылкой на экспертов из организации Positive Technologies, которая расследовала инциденты в компаниях ТЭК и авиапрома
Хакеры из новой группировки ChamelGang атакуют учреждения в десяти странах мира, включая Россию, сообщает Коммерсантъ со ссылкой на экспертов из организации Positive Technologies, которая расследовала инциденты в компаниях ТЭК и авиапрома. По данным компании, первые атаки были зарегистрированы в марте, хакеров интересует хищение данных из скомпрометированных сетей. Жертвами по всему миру также стали учреждения в десяти странах, включая Индию, США, Тайвань и Германию. В четырех из них были обнаружены скомпрометированные правительственные серверы, говорят эксперты Positive Technologies. Там отмечают, что все пострадавшие компании получили уведомления по линии национальных групп реагирования на чрезвычайные ситуации (CERT). В Лаборатории Касперского отдельные компоненты атаки группировки наблюдают как минимум с мая. Новая группировка получила название ChamelGang от слова chameleon, так как хакеры маскируют вредоносное ПО и сетевую инфраструктуру под легитимные сервисы. Например, они регистрируют фишинговые домены, имитирующие сервисы поддержки, доставки контента и обновлений Microsoft, TrendMicro, McAfee, IBM, Google и других компаний. Среди инструментов группировки в том числе новое, ранее не описанное вредоносное ПО ProxyT, BeaconLoader и бэкдор DoorMe, то есть лазейка , которая позволяет хакеру получить доступ в систему. В одной из атак хакеры сначала напали на дочернюю организацию, а через две недели - на головную компанию: узнали пароль локального администратора на одном из серверов и проникли в сеть компании по протоколу удаленного рабочего стола (RDP). Хакеры оставались необнаруженными в корпоративной сети в течение трех месяцев и за это время получили контроль над большей частью сети, включая критически важные серверы и узлы. Во второй атаке для проникновения в инфраструктуру злоумышленники воспользовались цепочкой связанных уязвимостей в Microsoft Exchange, о которой стало известно в августе. Хакеры присутствовали в инфраструктуре организации восемь дней и значимого ущерба нанести не успели, отмечают в Positive Technologies. Эксперт по кибербезопасности Лаборатории Касперского Алексей Шульмин подтвердил таргетированный характер атаки и широкую географию жертв, в том числе единичные попытки атак в России . Некоторые утилиты группировки, добавил он, имеют интерфейс на китайском языке.
