Фахівці у сфері інформаційної безпеки повідомили про появу нового хакерського угруповання chamelgang, яке націлилося на установи в десяти країнах, включаючи росію. Згідно з наявними даними, за останні кілька місяців хакери атакували вітчизняні компанії паливно-енергетичного комплексу і авіапрому, причому мінімум у двох випадках їм вдалося домогтися успіху. Про це пише “комерсант” з посиланням на дані компанії positive technologies.
Зображення: istock
Джерело зазначає, що хакерів з chamelgang цікавлять дані, які можна витягти після компрометації внутрішніх мереж компаній. Фахівці не виключають, що угруповання може діяти в інтересах уряду однієї з країн. Перші атаки згаданого угруповання зафіксовані в березні, а список атакованих підприємств, крім російських, складається з компаній з індії, сша, тайваню, німеччини та ін.
Назва угруповання від слова chameleon не випадково, в рамках своєї діяльності хакери маскують шкідливе програмне забезпечення і мережеву інфраструктуру під легітимні сервіси. Наприклад, вони здійснюють реєстрацію фішингових доменів під виглядом сервісів підтримки, доставки контенту і оновлень microsoft, trendmicro, mcafee, ibm, google і ін.в арсеналі хакерів великий набір інструментів, включаючи раніше не описане шкідливе пз.
Фахівцям вдалося відстежити кілька атак chamelgang. В одній з них хакери спочатку атакували дочірнє підприємство, а через кілька днів напали на головну організацію. Якимось чином вони дізналися пароль локального адміністратора одного з внутрішніх серверів, за рахунок чого їм вдалося проникнути у внутрішню мережу компанії по протоколу віддаленого робочого столу rdp. Протягом трьох місяців зловмисники залишалися непоміченими, в результаті чого їм вдалося взяти під контроль більшу частину внутрішніх мереж. У другій атаці хакери використовували для проникнення у внутрішню інфраструктуру кілька пов’язаних вразливостей microsoft exchange, про які стало відомо в серпні.
