Спецпроекты

Безопасность Новости поставщиков Стратегия безопасности Маркет

Российские оборонные предприятия подверглись крупной хакерской атаке

На организации российского оборонно-промышленного комплекса была совершена крупная фишинговая атака. Письма, замаскированные под сообщения на военную и политическую тематику, сначала содержали вредоносное ПО, а потом — ссылки на изображения, с помощью которых сервер хакеров собирал данные об устройствах.

Атака SonXY

Российский оборонно-промышленный комплекс стал мишенью хакерской кампании под названием SonXY, целью которой было незаконное получение информации, то есть шпионаж. К такому выводу пришли специалисты по информационной безопасности из компании Positive Technologies.

Атака затронула оборонно-промышленные организации не только в России, но и в других странах, в том числе в Японии, Монголии, Белоруссии, США, Таджикистане, Узбекистане, Киргизии, Казахстане и Украине. По данным Positive Technologies, пострадало как минимум 17 организаций, которые компания уже поставила в известность о случившемся.

Хроника событий

Первая волна SonXY была зафиксирована в апреле 2017 г. Хакерская группировка, которая проводила атаку, прибегла к методу фишинга. На электронные почтовые ящики организаций и отдельных граждан рассылались фальшивые письма на военную и политическую тематику. Письма содержали вредоносное ПО CMstar, Lurid, Pilot RAT, Gh0st или RAT mini. Эти программы позволяют злоумышленнику осуществлять удаленную слежку за пользователем, а также перехватывать контроль над скомпрометированной системой.

Примеры фишинговых писем из рассылки SonXY

В сентябре 2017 г. начала распространяться вторая волна SonXY. От первой ее отличало то, что хакеры вместо вредоносных программ стали вкладывать в письма ссылки на изображения. В случае, если пользователь принимал решение пройти по ссылке, его устройство обращалось с запросом о получении файла на сервер хакеров. Таким образом сервер узнавал, какой IP-адрес закреплен за устройством жертвы, и какая версия пакета Microsoft Office на нем установлена. Это позволяло хакерам определить, какой эксплоит лучше всего подойдет для продолжения атаки.

Итоги последнего квартала

В целом по итогам IV квартала 2017 г. не так много хакерских атак было направлено на получение информации — всего 19%, сообщает Positive Technologies. Для сравнения — в III квартале таких атак было 25%. Целью 73% атак в IV квартале было получение прямой финансовой выгоды. Также был зафиксирован рост хакерских операций, совершенных протестующими активистами — с 3% в III квартале до 7% в IV. 58% кибератак, совершенных в последнем квартале, являлись в массовыми.

Из всех атак, имевших место в IV квартале, самыми распространенными были атаки против частных лиц, которые составили 32%. При этом 13% атак были направлены против государственных учреждений, 9% — против финансовых организаций, а еще 8% — против медицинских организаций. Мишенью 6% атак стали онлайн-сервисы, еще 5% пришлось на сферу услуг. По 3% атак выпало на долю розничной торговли, сферы образования, ИТ-компаний и промышленных предприятий. С 2% атак пришлось иметь дело телеком-операторам.

Популярные методы атак

Что касается методов совершения атак, то самым популярным остается использование вредоносного ПО — к нему прибегают в 41% случаев. В частности, с помощью вредоносного ПО в IV квартале было совершено 93% атак на мобильные устройства, причем в большинстве случаев этот софт загружался пользователями из официальных магазинов приложений.

По 11% атак осуществлялись с помощью социальной инженерии и эксплуатации уязвимостей в ПО, еще по 10% — с помощью эксплуатации веб-уязвимостей и компрометации учетных данных. DDoS-атаки составили 5% от общего количества.

Валерия Шмырова

Короткая ссылка