ESET и NOD32 поддержали «ДНР» и «ЛНР» в борьбе с украинскими хакерами
Словацкая антивирусная компания ESET, выпускающая антивирус NOD32, который установлен почти на 70% компьютерах госструктур Украины, раскрыла методы слежения украинских хакеров за представителями оккупационной власти так называемых "ДНР" и "ЛНР".
Компания в релизе отмечает, что отдельные лица в Украине проводят операцию Groundbait ("Прикормка"), ее цель - в первую очередь киберслежка за представителями самопровозглашенных Донецкой и Луганской народных республик.
"В качестве инструмента украинские хакеры используют вредоносную программу, которую продукты ESET классифицируют как Win32/Prikormka", - пишет ESET в своем исследовании.
Как отмечается, впервые специалисты ESET ее обнаружили в третьем квартале 2015 года. Дальнейшие исследования показали, что данная угроза начала распространяться по меньшей мере с 2008 года.
Для распространения программы в ходе операции Groundbait в большинстве случаев использовались фишинговые электронные письма.
"В ходе исследования мы обнаружили большое количество образцов, каждый со своим ID кампании и привлекательным именем файла, чтобы вызвать интерес у жертвы", - раскрывает методы украинских хакеров исследователь угроз ESET Антон Черепанов.
Злоумышленники, как хакеров называет компания ESET, применяют приемы социальной инженерии для убеждения жертвы открыть вредоносное письмо. В частности, используют провокационные и привлекательные названия писем электронной почты.
Кроме того, как отмечается, жители Донецкой и Луганской областей были не единственными мишенями операции.
В ESET утверждают, что под удар попали украинские государственные чиновники, политики, журналисты, представители "Правого сектора", представители религиозных организаций.
В ходе исследования операции Groundbait специалисты ESET выявили ряд доменов командных серверов и IP-адресов. Большинство из них расположены в Украине и размещены украинскими хостинг-провайдерами.
Один из командных серверов gils.ho [.] Ua используется в операции с 2008 года, согласно информации, полученной от хостинг-компании.
Для прикрытия своей незаконной деятельности, хакеры создали поддельный сайт, посвященный столице Украины - Киеву.
В ходе исследования специалисты ESET получили доступ к командной операции сервера Groundbait, который из-за неправильных настроек разрешил создание списков папки общего доступа.
"В определенный момент корневая директория содержала 33 подкаталога с отдельной папкой для каждой жертвы. Это означает, что сервер был использован для управления 33 компьютерами, инфицированными угрозой Prikormka", - говорится в сообщении.
В качестве заключения специалисты ESET отмечают, что вредоносная программа Prikormka является первым обнаруженным украинским вредоносным программным обеспечением, которое используется для целенаправленных атак.
