Pawn Storm са атакували и България

0
88


Помните ли Pawn Storm, умелите кибершпиони, провеждащи високопрофилни APT атаки към военни и държавни организации от различен калибър? Един от акцентите им на дейност са държави от Източна Европа, като за последно под ударите им попадна Турция. От доклад на Trend Micro, които следят отблизо действията на групата вече няколко години, споменават за проведени атаки към България.

APT или Advanced Persistent Threat обозначава сложни и устойчиви заплахи и операции. Задачата на групите, стоящи зад тях не е като тази на обикновените киберпрестъпни групировки, която обикновено се заключава във „вземи парите и бягай”. Не, целта им е да се вмъкнат незабелязано в системите и мрежите на жертвата и да останат, колкото се може по-дълго незабелязани, през което време следят комуникациите, крадат данни и компрометират свързани с тях страни, като обикновено целта е придобиване на предимство пред отсрещната страна – знание. Има и изключения, като атаката на Израел и САЩ към ядрените мощности на Иран с вируса Stuxnet (последвани от две други сложни програми – Flame и Duqu), в която цел е саботаж. В атаката, част от т.нар. мисия „Олимпийски игри” са били използвани поне четири неоткрити досега уязвимости за MS Windows, сложни фишинг атаки, експлоатиране на неоткрити досега уязвимости за контролиращите центруфугите, обработващи уран системи на Siemens и зловредни програми, между които и Stuxnet. Заради ресурсите, използвани в този род атаки, те често биват свързвани с правителствени и държавни организации, които им осигуряват нужната подкрепа.

Pawn Storm, от своя страна е групировка, която е известна с няколко други имена (Sofacy/Sendit, APT28, Sofacy Group), заради именуването ѝ от компаниите за защита, разследващи операциите ѝ и инструментите, които използват в различните операции. Групировката често се свързва с Москва. Все пак е нужно да бъде отбелязано, че много специалисти по информационна защита подчертават, че категоричното приписване на отговорност за подобен род атаки съвсем не е просто, като не са изключени и „false-flag” операциите, при които атаките се провеждат така, че анализаторите на инцидентите да бъдат подведени по грешна следа, уличаваща трета страна.

В доклада на Trend Micro от вчера се съобщават подробностите за последните действия на Pawn Storm и детайли за ползваните от тях сървърни структури, от които осъществяват своите атаки. Изглежда, че от лятото на миналата година досега, групировката е провела над 80 високопрофилни операции, сред които и през март тази година срещу българската армия, свързана с опит за кражба на акредитиви.

Pawn Storm използват малка хостинг компания с VPS сървъри в Румъния и Холандия, като официално регистрацията на компанията е Саудитска Арабия. Всъщност, Pawn Storm провеждат няколко атаки именно към близки до управниците и военните в арабската държава. Услугите на въпросната компания се използвали и се използват от спамери и киберпрестъпни групировки, между които и разпространителите на Carbanak. Групата използва услугите и на друга компания, която преди е била регистрирана в Хага, но към настоящия момент е с регистрация в офшорна зона на Сейшелите.

„Финансовият сектор в Холандия бива сочен от експерти като уязвим на схеми по избягване на данъците. Уязвима ли е холандската уеб хостинг индустрия към офшорни схеми, които предлагат засилена анонимност за киберпрестъпления и шпионаж?”, си задава въпроса Файке Хакеборд от Trend Micro.

Подробен списък на последните мишени на Pawn Storm може да видите тук (pdf).

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари