Фахівцям швейцарської компанії Prodaft вдалося отримати доступ до серверів, що використовувалися хакерами для зламу SolarWinds. Завдяки цьому вони змогли дізнатися, кого атакували зловмисники і як вони проводили свої операції.
За словами фахівців, в поточному місяці хакерська операція все ще тривала.
Експертам вдалося зламати комп’ютерну інфраструктуру і вивчити подробиці масштабної шкідливої кампанії, що мала місце з березня по серпень минулого року. В ході кампанії зловмисники атакували тисячі компаній і урядових організацій в Європі і США. Метою кіберзлочинністю угруповання, названої дослідниками SilverFish, було шпигунство і викрадення даних, повідомили в Prodaft.
За даними дослідників, SilverFish здійснили “надзвичайно складні” кібератаки як мінімум на 4720 жертв, в тому числі на урядові установи, провайдерів, десятки банків, організації ЄС, великі аудиторські і консалтингові фірми, а також на світових лідерів на ринку тестування на COVID -19, авіації і оборонних технологій.
В атаках на жертв зловмисники використовували не тільки бекдор в ПЗ SolarWinds, а й інші методи. За їх словами, хакери демонструють ознаки угруповання, що фінансується урядом. Зокрема, вони не переслідують фінансової вигоди і атакують критичну інфраструктуру.
Фахівці компанії також розповіли про те, як зловмисники проводили свою операцію. За їх словами, хакери працювали в стандартний робочий час – з понеділка по п’ятницю з 8:00 до 20:00. Їх сервери розташовуються в Росії і Україні, і деякі з них також використовуються угрупованням Evil Corp.
Хакери писали коментарі з використанням російського сленгу, в той час як англійська була другою основною мовою. Під час розслідування одна з виявлених командно-контрольних панелей була 188.120.239.154, яка була розміщена в Росії, а друга адреса C&C була 130.0.235.92, а ІР було зареєстровано в Україні. Обидві IP-адреси зареєстровані в домені.
На відміну від традиційних атак, що використовують доменне ім’я, придбане за допомогою анонімних платежів, SilverFish використовує зламані домени для перенаправлення трафіку.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як створити гостьову мережу Wi-Fi та навіщо вона потрібна?
Що таке зловмисне ПЗ? Все, що потрібно знати про віруси, трояни та програми-вимагачі
Як обмежити додаткам використання даних у фоновому режимі на Android? – ІНСТРУКЦІЯ
Як налаштувати автовидалення повідомлень у Telegram? – ІНСТРУКЦІЯ
Як заборонити сайтам надсилати Вам сповіщення у Chrome на Android? – ІНСТРУКЦІЯ
Нагадаємо, на VirusTotal були виявлені кілька зразків трояна XCSSET, які здатні працювати на пристроях з чипами Apple Silicon (M1). Троян вміє красти файли куки з Safari, інформацію з додатків Evernote, Skype, Notes, QQ, WeChat і Telegram, а також шифрувати файли і впроваджувати шкідливий JavaScript сторінки, що відкривається у браузері, за допомогою XSS-атаки
Окрім цього, у Google Play Маркет знайшли понад десять додатків, що завантажують троянську програму Joker. Ця шкідлива програма примітна тим, що таємно оформляє підписку на преміум-послуги. Вона також вміє перехоплювати SMS, красти конфіденційні дані і список контактів, встановлювати бекдор, генерувати фейковий відгуки, нав’язливо показувати рекламу
Також понад 10 різних APT-груп, які використовують нові уразливості Microsoft Exchange для компрометації поштових серверів, виявили дослідники з кібербезпеки. Дослідники ESET виявили наявність веб-шелів (шкідливі програми або скрипти, які дозволяють дистанційно управляти сервером через веб-браузер) на 5 тисячах унікальних серверах у понад 115 країнах світу.
До речі, хакери вигадали хитрий спосіб викрадення даних платіжних карток у скомпрометованих інтернет-магазина. Замість того, щоб надсилати інформацію про картку на контрольований ними сервер, хакери приховують її у зображенні JPG та зберігають на самому веб-сайті, з якого власне, і були викраденні дані.
А команда експертів змогла отримати доступ до камер відеоспостереження, встановлених в компаніях Tesla, Equinox, медичних клініках, в’язницях і банках. Фахівці опублікували зображення з камер, а також скріншоти своєї здатності отримати доступ суперкористувача до систем спостереження, які використовують в компанії Cloudflare і в штаб-квартирі Tesla.
