Рекомендуем почитать:
Эксперты компании ESET рассказали об атаках кибершпионской группировки Machete, нацеленных на госструктуры Латинской Америки. Основной целью хакеров является кибершпионаж, причем особое внимание уделяется поиску данных о дислокации военных объектов.
Группировка Machete известна ИБ-специалистам и ведет деятельность как минимум с 2010 года. Но если раньше группа атаковала самые разные цели по всему миру, то в 2019 году хакеры преимущественно сконцентрировали свои усилия на Венесуэле.
Так, в период с марта по май 2019 года эксперты ESET обнаружили как минимум 50 зараженных компьютеров, связывавшихся с управляющими серверам Machete. Около 75% этих компрометаций были замечены в Венесуэле, и более половины зараженных машин принадлежали венесуэльским военным, хотя также под удар попали и другие госучреждения, включая полицейские и образовательные структуры.
Способ заражения выглядит следующим образом: потенциальная жертва получает письмо со ссылкой или вложенным документом. При этом рассылка вредоносных сообщений носит точечный характер — письма получает ограниченное число лиц.
В качестве приманки выступают документы, хорошо известные в армейских кругах, например, радиограммы. Кроме того, злоумышленники активно используют профессиональный сленг, что окончательно заставляет получателей фишингового письма поверить в обман.
Если «наживка» сработала, происходит запуск самораспаковывающегося файла и установка бэкдор-компонентов. Один из них представляет собой шпионский модуль, который копирует и шифрует документы, делает снимки экрана, определяет геолокацию, скачивает историю браузера и перехватывает введенный с клавиатуры текст. Каждые десять минут украденные данные передаются на управляющий сервер атакующих.
«Атакующие извлекают определенные типы файлов, используемые геоинформационными системами (ГИС). Особенно группировку интересуют файлы, описывающие навигационные маршруты и позиционирование с использованием координатной сети», — пишут исследователи.
По данным ESET, в настоящее время Machete использует новую версию своего набора вредоносных инструментов, отличную от того, что описывали аналитики «Лаборатории Касперского» и Cylance в 2014 и 2017 годах.
В ходе изучения набора инструментов группы исследователи пришли к выводу, что группировка является испаноговорящей: исходные коды содержат ряд терминов на испанском языке. К таким же выводам ранее приходили и эксперты других ИБ-компаний. При этом специалисты ESET отмечают, что до сих пор нельзя сказать наверняка, является ли Machete спонсируемой государством группой, или же это независимые хакеры, попросту продающие похищенную информацию.
Читайте также
Последние новости
2009-2024 © Все права защищены.
This website - is fan-site, not an official Huawei website. The Huawei logo is a trademark of Huawei Technologies. Other trademarks are the property of their respective owners.
|