Спецпроекты

Хакеры научились шпионить за военными и космическими компаниями через LinkedIn

Безопасность Бизнес ИТ в госсекторе Маркет

Кибергруппировка хакеров атакует военных и аэрокосмических поставщиков в Европе и на Ближнем Востоке. Помимо очевидных шпионских действий, злоумышленники пытаются также красть финансовые средства.

Нужна работа? Получите вредонос

Неизвестного происхождения кибергруппировка атакует работников поставщиков военного и аэрокосмического оборудования в Европе и на Ближнем Востоке. В качестве основного инструмента атак на данный момент используется служба личных сообщений в сервисе LinkedIn: злоумышленники целенаправленно шлют фальшивые предложения работы от лица таких крупных корпораций как CollinsAerospace и GeneralDynamics.

По мнению экспертов ESET, эти атаки являются частью более крупной операции (условно названной OperationIn(ter)ception), причем, несмотря на очевидную «шпионскую» природу, как минимум часть усилий злоумышленников имеет финансовые мотивы.

К сообщениям, которые рассылаются жертвам, прилагаются архивные файлы (RAR), содержащие файл с расширением LNK. При его открытии жертве выводился невинный на первый взгляд PDF-файл с информацией о зарплатах. Одновременно, однако, запускалась утилита командной строки Windowsдля создания отложенной задачи — запуска удаленного скрипта XSL. Данный скрипт скачивал дополнительные вредоносные файлы, зашифрованные по алгоритм base64. Их расшифровка производилась с помощью встроенной утилиты WindowsCertutil, предназначенной для различных задач, связанных с проверкой сертификатов безопасности ПО. Затем использовалась еще одна утилита — rundll32 для загрузки и запуска вредоносной библиотеки, использующей команды PowerShell.

linkedin600.jpg
Хакеры используют LinkedIn для рассылок шпионских вредоносов

Поскольку регистрация команд PowerShell отключена по умолчанию, экспертам не удалось выяснить, какие именно команды вредонос запускает. Окольными путями было установлено, что злоумышленники запрашивали сервер ActiveDirectory для получения списка сотрудников атакованной компании, в том числе системных администраторов, на чьи аккаунты затем производились брутфорс-атаки.

Прочие интересующие злоумышленников данные архивировались в другой файл RAR, после чего использовалась специально подготовленная версия легитимной утилиты dbxcli для загрузки данных на аккаунты DropBox, по-видимому контролируемые злоумышленниками.

Не забываем про деньги

«Судя по должностям работников, которых атаковали через LinkedIn, операция In(ter)ception нацелена на получение технической и деловой информации», — отметили исследователи, заметив, однако, что не смогли установить точно, файлы каких именно форматов крадут злоумышленники.

Технический анализ атак показал, что операторы атак используют уникальное или, по крайней мере, незадокументированное прежде вредоносное ПО, которое еще и регулярно перекомпилируется. Использование легитимных утилит Windows также способствует незаметности действий злоумышленников.

Помимо кражи данных, те же хакеры активно и относительно успешно промышляли BEC-атаками (BusinessEmailCompromise — компрометация деловой переписки), что и позволило исследователям сделать вывод о наличии финансовой мотивации у операторов кампании. Впрочем, это не значит, что основным назначением атак не является кибершпионаж.

Установить принадлежность In(ter)ception экспертам ESET не удалось, однако ряд косвенных признаков заставил их заподозрить возможную связь с северокорейской APT-группировкой Lazarus. Среди таких признаков — выбор мишеней, методы противодействия обнаружению и анализу и среда разработки. Но утверждать наверняка, что это Lazarus или смежная группировка, эксперты не берутся.

«Атрибуция в подобных случаях — дело ненадежное и неблагодарное, — указывает Алексей Водясов, эксперт по информационной безопасности компании SECConsultServices. — Методы, применяемые сегодня одной группировкой, назавтра с еще большим успехом может применять совсем другая; киберкриминал отслеживает информацию о “коллегах” с не меньшим усердием, чем борцы с киберпреступностью. Что же касается целей, то военная и аэрокосмическая сферы — это всегда объекты повышенного интереса со стороны шпионов. Использование LinkedIn, конечно, повышает степень угрозы: пользователи обычно рассматривают данную сеть как более-менее безопасную среду. В любом случае, сообщение о предложении работы, которое содержит архив вместо обычного документа (или документ, требующий активировать какое-то дополнительное содержимое типа макросов) — это явный признак угрозы».