Група кібершпигунів Sednit атакує політичних діячів Східної Європи та урядові установи різних країн світу

Компанія ESET — лідер у галузі проактивного виявлення — попереджає про нову хвилю фішинг-атак групи кібершпигунів Sednit. Цілями зловмисників уже стали понад 1000 політичних діячів та публічних осіб з різних країн світу.

Займаючись злочинною діяльністю щонайменше з 2004 року, група Sednit здійснює складні атаки, які здатні обходити типову мережеву безпеку організацій. У переліку жертв шпигунів фігурують Національний комітет Демократичної партії США (DNC), німецький парламент і телевізійна французька мережа TV5MONDE.

Однак на цьому кіберзлочинці не зупинилися. За даними дослідження компанії ESET із 16 березня до 14 вересня 2015 року цілями групи шпигунів стали близько 1888 поштових скриньок, більшість з яких Gmail, що належать приватним особам.

Зокрема серед цілей зловмисників спеціалісти ESET зафіксували політичних лідерів і керівників Національної поліції України, представників НАТО, членів Партії народної свободи Росії, «Шалтай-Болтай» (анонімна російська група, відома публікацією приватних електронних листів російських політиків), російських політичних дисидентів, журналістів зі Східної Європи, вчених, які відвідують російські університети, а також чеченські організації.

Крім цього, до списку цілей загрози також входять посольства ряду країн, зокрема Алжиру, Бразилії, Колумбії, Джібуті, Індії, Іраку, Північної Кореї, Киргизстану, Лівану, М'янми, Пакистану, Південної Африки, Туркменістану, Об'єднаних Арабських Еміратів, Узбекистану та Замбії, а також міністерства оборони України, Аргентини, Бангладешу, Південної Кореї та Туреччини.

Метою кіберзлочинців є викрадення облікових даних користувачів електронної пошти. Жертвам надсилаються фішингові листи з посиланнями на фальшиві сторінки для входу в поштову скриньку, де користувачам пропонується ввести ім’я користувача та пароль.

Під час здійснення атак до листів електронної пошти можуть прикріплюватися шкідливі файли або посилання на веб-сайти, що містить набір експлойтів. З метою інфікування комп’ютера жертви за допомогою шкідливого вкладення електронної пошти група використовує уразливості в Microsoft Office, Excel, Word, Adobe Flash та Adobe Reader.

Для введення в оману жертв кіберзлочинці використовують методи соціальної інженерії, таким чином заохочуючи жертв відкривати вкладення або переходити за посиланнями в листі без врахування можливих ризиків.

У багатьох шкідливих атаках на фальшиві веб-сайти зі шкідливим програмним забезпеченням група Sednit заманює користувачів заголовками справжніх новинних статей (наприклад, «Військова перевага Заходу послаблюється, – попереджає доповідь», «Незважаючи на атаки ІДІЛ, Північна Корея залишається “університетом” глобальних загроз»).

Збільшує шанси на успішне інфікування системи жертви з мінімальним втручанням користувача використання зловмисниками 0-денних уразливостей. Згідно з дослідженням компанії ESET, тільки у 2015 році група використала не менше шести 0-денних уразливостей у Windows, Adobe Flash та Java. Використати таку кількість раніше невідомих уразливостей, для яких відсутні оновлення, звичайним кіберзлочинцям було б не під силу. Оскільки на їх відкриття та використання потрібні значні вміння, час і ресурси.

Крім цього, для здійснення шпигунської діяльності група кіберзлочинців створила десятки програм для користувачів, модульні бекдори, буткіти та руткіти. Таким чином, рівень складності атак Sednit може свідчити про те, що хакерська група спонсорується на високому, можливо державному, рівні.

Під час дослідження спеціалісти ESET визначили час доби, коли спостерігалась активність зловмисників. «Діяльність кіберзлочинців відповідає робочому часу з 9 ранку до 5 вечора в часовому поясі UTC+3, іноді з активністю у вечірній час», – йдеться в дослідженні.

У зв’язку з можливою небезпекою подальшого поширення загрози спеціалісти ESET рекомендують користувачам використовувати надійні антивірусні рішення та дотримуватися основних правил безпеки для захисту від фішинг-атак.