Киберпреступники атаковали российский ТЭК
В России отследили активность новой киберпреступной группировки ChamelGang. Она атакует предприятия топливно-энергетического комплекса (ТЭК) и авиационной промышленности. Целью хакеров становятся данные о партнёрах и сотрудниках компании, её переписка и внутренняя документация. Мошенники работают с марта 2021 года. С того времени им удалось взломать сети как минимум двух организаций, сообщили «Секрету» в экспертном центре безопасности Positive Technologies.
Промышленные предприятия часто не могут самостоятельно выявить кибератаку и уверены в своей безопасности, считает глава отдела исследования угроз в Positive Technologies Денис Кувшинов. В 90% случаев мошенники могут проникнуть в корпоративную сеть компании и полностью её изучить, заявил эксперт.
В Positive Technologies не смогли установить, в каких странах находятся участники группировки ChamelGang. Хакеры атаковали не только российские промышленные предприятия, но и учреждения в других государствах, среди которых Индия, Непал, США, Тайвань, Япония и Германия. Все пострадавшие компании получили уведомления по линии национальных групп реагирования на чрезвычайные ситуации (CERT).
Для атак ChamelGang использует программы ProxyT, BeaconLoader и бэкдор DoorMe. «Бэкдор даёт злоумышленникам довольно широкие возможности в захваченных системах. Он способен выполнять команды посредством cmd.exe и создания нового процесса, записывать файлы двумя способами и копировать метки времени», — пояснил руководитель отдела реагирования на угрозы в Positive Technologies Денис Гойденко.
Бэкдор (дословно «тайный вход») — это дефект программы, который намеренно встраивается разработчиком и позволяет получить доступ к данным пользователей.
Своё название ChamelGang (от англ. chameleon — «хамелеон») получила из-за использования фишинговых доменов, похожих на настоящие. Злоумышленники регистрируют сайты, имитирующие официальные сервисы крупных международных компаний — Microsoft, TrendMicro, McAfee, IBM и Google.
Также на своих серверах группировка размещала поддельные SSL-сертификаты. Такой сертификат нужен, чтобы сайт стал работать по протоколу безопасного соединения и данные пользователя не были украдены.
Ранее мошенники атаковали фанатов «Формулы-1». Они использовали поддельные сайты, на которых предлагалось посмотреть трансляцию гонок за небольшую сумму, около 100 рублей. Но для этого нужно было ввести данные карты. Сами гонки на сайтах аферистов обычно не транслируются.
Фото: Pixabay, Pixabay License