События

Опубликованы подробности деятельности хакерской группировки Energetic Bear

Исследователи безопасности из подразделения ICS CERT «Лаборатории Касперского» проанализировали серверы, скомпрометированные хакерской группировкой Energetic Bear (также известной под названиями Dragonfly и Crouching Yeti) за последние несколько лет.

Группировка проявляет активность по меньшей мере с 2010 года. В основном ее целями являются компании в энергетическом и промышленном секторах. В апреле 2018 года Министерство внутренней безопасности США (DHS) и Федеральное бюро расследований (ФБР) заявили о предположительной связи Energetic Bear с российским правительством.

В текущем месяце компания Cylance опубликовала отчет о новой кампании хакеров, в ходе которой им удалось скомпрометировать один из маршрутизаторов Cisco и похитить учетные данные, что позволило группировке осуществить атаки, нацеленные на энергетические компании Великобритании.

Исследователи «ЛК» проанализировали взломанные Energetic Bear серверы во множестве стран, в том числе в России, Украине, Великобритании, Германии, Турции, Греции и США. Большинство скомпрометированных серверов использовались для кибератак, сбора пользовательских данных, а также для размещения вредоносного ПО.

В ходе атак группировка попыталась похитить различную информацию подключенных к скомпрометированным ресурсам пользователей, например, IP-адреса, логины, названия доменов и NTLM-хэш паролей, отметили эксперты.

В некоторых случаях скомпрометированные серверы использовались для проведения атак на другие ресурсы, в ходе которых злоумышленники использовали широкий набор инструментов для сканирования web-сайтов и серверов. Большая часть просканированных ресурсов находилась в России, Украине, Турции, Бразилии, Грузии, Казахстане, Швейцарии, США, Франции и Вьетнаме.

На скомпрометированных серверах специалисты обнаружили множество общедоступных инструментов, включая Nmap (утилита для сетевого анализа), Dirsearch (скрипт для принудительного поиска каталогов и файлов на сайтах), Sqlmap (программа для внедрения SQL-кода), Sublist3r (инструмент для подсчета поддоменов сайтов), Wpscan (сканер уязвимостей WordPress), Impacket, SMBTrap, Commix (поиск уязвимостей и ввод команд), Subbrute (перечисление поддоменов) и PHPMailer (отправка почты).

Исследователи также обнаружили ряд вредоносных php-файлов в различных каталогах в папке nginx, а также в рабочем каталоге злоумышленников, созданном на зараженном сервере. Там также был обнаружен модифицированный файл sshd с предустановленным бэкдором.

Заменив исходный файл sshd на зараженном сервере, злоумышленники могут использовать мастер-пароль для входа на удаленный сервер, оставляя минимальные следы.

На взломанных серверах хакеры устанавливали нужные им инструменты в разное время. Члены группировки заходили на сервер примерно в одно и то же время суток и проверяли файл журнала smbtrap в рабочие дни.

Как выяснили исследователи, в большинстве случаев группировка выполняла задачи, связанные с поиском уязвимостей и кражей данных для аутентификации.

«С некоторой степенью уверенности можно предположить, что группа работает в интересах или принимает заказы от сторонних клиентов, выполняя первоначальный сбор данных, их хищение и подготовку системы к осуществлению кибератаки», - заключили специалисты.

Источник

Автор: Сергей Куприянов
24.04.2018 (15:18)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.