Кибершпионы атакуют Израиль: какие компании под прицелом

Компания ESET ― лидер в области информационной безопасности ― проанализировала новые специальные бэкдоры и кибершпионские инструменты, которые использовала APT-группа POLONIUM для атак. Злоумышленники были нацелены на организации в различных областях, таких как инженерия, информационные технологии, право, коммуникации, брендинг и маркетинг, СМИ, страхование и социальные услуги.

По данным телеметрии ESET, по крайней мере, с сентября 2021 года киберпреступники атаковали больше 10 организаций в Израиле, а последняя их активность была зафиксирована в сентябре 2022 года.

Группа киберпреступников POLONIUM впервые была обнаружена компанией Microsoft в июне 2022 года. По данным Microsoft, злоумышленники базируются в Ливане и координируют свою деятельность с другими организациями, связанными с Министерством разведки и безопасности Ирана.

Киберпреступники обладают множеством вредоносных программ, которые они постоянно модифицируют и разрабатывают новые. Общим признаком всех опасных инструментов является несанкционированное использование облачных сервисов, в частности Dropbox, Mega и OneDrive, для связи с командным сервером. В общем, данных о группе POLONIUM достаточно мало, вероятно, из-за целенаправленности их атак, а также неизвестного начального вектора компрометации.

«Многочисленные версии и изменения, которые киберпреступники POLONIUM вносят в собственные инструменты, демонстрируют непрерывные и долгосрочные усилия для шпионажа за целями. Исследователи ESET считают, что злоумышленники заинтересованы в сборе конфиденциальных данных. Похоже, что киберпреступники не участвуют в деятельности, связанной с саботажем или программами-вымогателями», — комментирует Матиас Поролли, исследователь ESET.

Набор инструментов POLONIUM состоит из 7 специальных бэкдоров:

  • CreepyDrive, который использует OneDrive и облачные сервисы Dropbox для связи с командным сервером;
  • CreepySnail, который выполняет команды от злоумышленников;
  • DeepCreep и MegaCreep, которые используют сервисы хранения файлов Dropbox и Mega соответственно;
  • FlipCreep, TechnoCreep и PapaCreep, которые получают команды от злоумышленников.
POLONIUM разработала несколько модулей для шпионажа. ESET.

Рис.1. Хронология использования бэкдоров группой POLONIUM.

Эта группа киберпреступников также разработала несколько специальных модулей для шпионажа за своими целями, в частности с помощью создания снимков экрана, считывания нажатий клавиш, слежки через веб-камеру и перехвата файлов.

«Большинство вредоносных модулей имеют ограниченный функционал. В одном случае злоумышленники использовали модуль для создания снимков экрана, а в другом для загрузки их на командный сервер. Также им свойственно разделение кода в своих бэкдорах, распределяя вредоносный функционал в разные небольшие библиотеки DLL. Вероятно, таким образом киберпреступники пытаются замаскировать свои действия от исследователей, которые, по их мнению, не будут наблюдать за полной цепочкой атак», — объясняет исследователь ESET.

Чтобы уменьшить потенциальные риски атак киберпреступниками, следует создать многоуровневую систему киберзащиты и позаботиться о безопасности данных. В частности, организациям уже сейчас следует обеспечить всестороннюю защиту рабочих станций, расширенный анализ угроз, выявление и реагирование, а также предотвращение потери конфиденциальных данных.

В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.

 

Читайте также:

Что делать, если ваш компьютер взломан ― советы специалистов ESET

Как усилить кибербезопасность компании в условиях постоянных атак ― 6 простых шагов

Хранение данных компаний в облачном хранилище ― насколько это безопасно