Кампания кибершпионажа Wild Neutron снова активизировалась
«Лаборатория Касперского» зафиксировала возобновление активности кампании кибершпионажа, известной как Wild Neutron (а также как Jripbot и Morpho) и впервые обнаруженной в 2013 году – тогда от нее пострадало несколько известных компаний, включая Apple, Facebook, Twitter и Microsoft, сообщает ЛК.
Организаторы операции свернули свою деятельность после того, как инциденты получили огласку. Однако в 2015 году они вновь активизировались, говорят эксперты.
Цель Wild Neutron – получить конфиденциальную информацию различных организаций. Исследователи ЛК выяснили, что жертвами кампании стали пользователи в 11 странах и территориях, а именно в России, Франции, Швейцарии, Германии, Австрии, Словении, Палестине, ОАЭ, Казахстане, Алжире и США. Среди пострадавших юридические фирмы, инвестиционные компании, организации, работающие с криптовалютой Bitcoin, группы компаний и предприятия, вовлеченные в сделки слияния и поглощения, IT-компании, учреждения здравоохранения, риэлтерские компании, а также индивидуальные пользователи.
Вредоносное ПО попадает в системы жертв через уязвимость в Flash Player – заражение осуществляется при помощи программ-эксплойтов, размещенных на скомпрометированных веб-сайтах. Эти эксплойты в свою очередь доставляют в инфицированную систему загрузчик вредоносного ПО, который подписан легитимным сертификатом, по всей видимости, украденным у известного разработчика потребительской электроники. Наличие действительного сертификата позволяет зловреду избегать детектирования некоторыми антивирусными решениями. Именно поэтому этот сертификат сейчас отзывается.
Организаторам кампании удалось скрыть адрес своего командно-контрольного сервера, при помощи которого они контролируют все зараженные системы. Кроме того, они добились того, что сервер восстанавливает свою работу даже после отключения.
Исходя из целей Wild Neutron, аналитики предполагают, что за этой кампанией не стоят никакие госструктуры или спецслужбы, однако допускают, что за атаками стоит мощная группировка, возможно, движимая экономическими интересами.
Происхождение самих атакующих также остается загадкой. В некоторых экземплярах вредоносного кода встречается строка на румынском языке “La revedere”, что значит «до свидания». Эта команда используется для окончания сессии коммуникации с командно-контрольным сервером. Кроме того, специалисты «Лаборатории Касперского» обнаружили команду и на русском языке – написанное латиницей слово «успешно».