МОСКВА, 8 февраля. /ТАСС/. Жертвами кибератак неизвестной группировки стали 140 организаций в 40 странах.
Об этом сообщила Лаборатория Касперского.
В компании отметили, что банки, телекоммуникационные компании и правительственные учреждения в 40 странах мира, в том числе семь российских организаций, стали жертвами "незаметных" целевых атак. Группировка до сих пор остается активной.
"Лаборатория" выяснила, что для проникновения в корпоративные сети по меньшей мере 140 организаций неизвестные злоумышленники использовали исключительно легитимное ПО, а любые вредоносные файлы хранили в памяти системы, не оставляя никаких следов на жестких дисках", - указали в компании. Как отметили в "Лаборатории Касперского", чаще всего злоумышленники применяют специализированное ПО для тестирования на проникновение, инструменты администрирования и утилиты для автоматизации задач в Windows, например, PowerShell.
Эксперты вышли на след новой неизвестной кибергруппировки в конце 2016 г. Тогда один из банков в СНГ обратился в компанию с просьбой расследовать подозрительную активность в своей сети. "В памяти сервера банка было обнаружено ПО для тестирования на проникновение Meterpreter, которое в настоящее время часто используется во вредоносных целях", - отмечают в "Лаборатории Касперского".
Хакеры внедрили в эту программу вредоносный код напрямую из реестра операционной системы и использовали ее, чтобы свободно собирать пароли системных администраторов. Конечной целью злоумышленников, скорее всего, было получение доступа к финансовым процессам банка, полагают эксперты.
Расследование инцидента позволило экспертам установить, что подобные атаки осуществлялись по всему миру. Механизм, когда вредоносный код "упаковывается" в легитимный софт, позволяет хакерам остаться незамеченным при проверке программ по "белому списку" (когда в системе можно запускать только официальные программы проверенных производителей). При этом вредоносный софт присутствует лишь в памяти самой системы, и доказательств атаки не остается.