Целенаправленная атака или конфиденциальные данные в Пакистане


ESET NOD32Компанией ESET была раскрыта целенаправленная атака, которая два года использовалась для хищения конфиденциальной информации в Пакистане и ряде других стран. Выяснилось, что корни этой кибератаки берут начало в Индии.

Цель кибератаки - кража конфиденциальной информации с зараженных компьютеров. Для этого использовались такие способы, как:

  • клавиатурный шпион;
  • модуль снятия скриншотов рабочего стола;
  • модуль передачи документов на внешний сервер и т.д.


После успешной атаки все собранные данные отправлялись к злоумышленникам.

При проведении атаки киберпреступники использовали действующий цифровой сертификат, которым подписывали вредоносные исполняемые файлы. Это придавало данным файлам большую легитимность. Упомянутый сертификат еще в 2011 году был получен компанией, расположенной в Нью-Дели (Индия). Вредоносное ПО с подписью этого сертификата, распространялось через электронную почту.

Киберпреступники маскировали вредоносные файлы под электронные документы с якобы важным содержанием. Так, в одном из них использовалась тема индийских вооруженных сил.

По мнению специалистов ESET, цели атаки располагались в Пакистане. Ниже на диаграмме продемонстрировано, что именно в этой стране активность вредоносного кода наибольшая - 79% от общего количества обнаружений данной угрозы.

Распределение обнаружений вредоносных объектов по странам

Raspred obnaruj vredonos prog po stranam

Таргетированные атаки получают в последние годы все большее распространение, а их целями становятся отдельно взятые учреждения или институты, имеющие государственное значение. В данном случае целью киберпреступников были учреждения в Пакистане. Этот инцидент мог поставить под угрозу национальную безопасность не только Пакистана, но и США, поскольку распространенность угрозы зафиксирована и там. По данным компании Norman, индийская киберпреступная группа участвовала в недавнем инциденте промышленного шпионажа против норвежской телекоммуникационной компании Telenor.

Для успешной установки вредоносного ПО злоумышленники применяли несколько векторов атаки. В одном случае использовался эксплойт для уязвимости CVE-2012-0158, который начинал свою работу с открытия специально сформированного документа Microsoft Office. Это открытие приводило в системе к инициированию произвольного кода. Такие документы доставлялись потенциальным жертвам по электронной почте. Открывая документ, пользователь незаметно для себя инициировал установку вредоносного ПО.

Другой вектор атаки заключался в рассылке по электронной почте исполняемых вредоносных файлов, маскирующихся под файлы Word или PDF-документы. Для дополнительной маскировки и усыпления бдительности пользователя, во время установки вредоносного ПО действительно отображался документ с определенным содержанием.


Обновлено (21.05.2013 02:22)