Операция Pawn Storm, ответственная за атаки против правительственных организаций и учреждений из оборонного сектора по всему миру становится все более активной. В настоящее время среди ее целей числятся страны-члены НАТО и Белый Дом.
Pawn Storm- активная экономическая и политическая шпионская операция, которая проводится с помощью Интернета. За этой операцией стоит группа специалистов, которая с помощью нескольких соединенных друг с другом инструментов атакует выбранную цель, так же, как это имеет место в случае шахматной стратегии с одноименным названием.
Feike Hacquebord, исследователь из компании Trend Micro, пишет в блоге: „Деятельность этой группы хакеров была замечены, по крайней мере с 2007 года. Группа использует три полноценных сценария атаки: первый это spear phishing, этот сценарий предполагает отправку поддельных сообщений, содержащих документы Microsoft Office с внедренным вредоносным ПО SEDNIT/Sofacy. Второй сценарий предусматривал использование специально подготовленных эксплойтов нападения на веб-сайты правительства стран, членов ЕС. Третья часть атаки включала отправку фишинговых писем, которые перенаправляют на поддельные страницы входа в систему портала Outlook Web Access. Атаки кампании Pawn Storm были направлены против военных, правительства и медиа-организаций в США и стран союзников. Мы также выяснили, что группа атаковала также российских диссидентов и оппозиционеров Кремля, украинских активистов и военные организации Украины . Учитывая цели, можно предположить, что атаки могут быть связан российским правительством”.
Новые серверы управления, новые фишинговые кампании
В первом квартале текущего года наблюдалось повышение активности этой группы. Появилось несколько новых URL-адресов, содержащих вредоносные программное обеспечение, а также новые серверы управления бот-сетями. Они атаковали правительственные учреждения (в том числе стран-членов НАТО) в Европе, Азии и на Ближнем Востоке. Акция началась с кампании вредоносного ПО, в которой отправляли сообщения, связанные со строительством южного газопровода, который должен сделать независимыми страны ЕС от российского газа, а также сообщения на тему военного конфликта Россия-Украина.
Feike Hacquebord сообщает, что в сообщении находится ссылка на страницу, на которой специальный скрипт анализирует ваш браузер и операционную систему, в том числе часовой пояса и установленные плагины. Когда проверка пройдена, сервер посылал сообщение, уведомляющее о необходимости установки плагина HTML5. Этот плагин, по сути, был вредоносным ПО Sednit/Sofacy для пользователей Windows и X-Agent и Fysbis, которые были предназначены, чтобы шпионить за пользователями Linux.
В обоих случаях применяли одну и ту же уловку социальной инженерии,программы-шпионы из этой же группы были установлены также с использованием эксплойтов “нулевого дня”. Подробную информацию о дырах и эксплойтах, связанных с распространением этой вредоносной программы можно найти в анализе, в блоге WeLiveSecurity.
Поддельная страница входа в систему
Нападавшие также разработали фальшивую страницу входа в Outlook Web Access, подобную той, которой пользуется большая американская компания, занимающаяся продажей ядерного топлива для атомных электростанций. Другие похожие сайты OWA, предназначались для атак против оборонных организаций двух стран-членов НАТО и офиса связи НАТО на Украине.
Американская тактика, нападение на Белый Дом
Нападавшие в своих действиях используют опыт военных, в том числе американских. Одна из их тактик нападения на охраняемую цели, это нападение не напрямую, а с помощью приобретаемых под другими лицами, мест или ресурсов, в которых защита намного слабее. Тактику жабьих прыжков применил генерал Дуглас McArtur во время второй мировой войны на тихом океане. В настоящее время это стандартная тактика применяется и в деятельности кибер-преступников.
Feike Hacquebord пишет: „Trend Micro получил доказательственные материалы, которые указывают на то, что хакеры, стоящие за атаками Pawn Storm собираются атаковать Белый Дом. В январе 2015 года. они напали на трех популярных блоггеров, которые четырьмя днями ранее провели интервью с Бараком Обамой. Эти нападения вписываются в классическую военную тактику жабьих прыжков, в которой нападение направлено не непосредственно на цель, а на освоении потенциально слабо защищенных компаний или людей, которые могут с ним работать. Таким образом, они атаковали также около 55 сотрудников крупной американской газеты”.
