В интернете можно встретить массу любопытных рассказов о том, насколько опасны крупные международные группировки хакеров. Считается, что некоторые из подобных организаций активно работают при поддержке правительств, выполняя указания по взлому критической инфраструктуры потенциальных противников. Хакеры занимаются промышленным шпионажем, а также взламывают различные структуры, в том числе и государственные. В прошлом месяце случился один из наиболее знаковых взломов, когда крупнейший мобильный оператор Украины на несколько дней потерял возможность осуществлять свою деятельность. Абоненты не могли использовать привычные голосовые вызовы, а эксперты отмечают, что компании был нанесён колоссальный ущерб. В данном случае атаку связывают с деятельностью неустановленной российской группировки, но чаще всего за взломами стоят независимые команды.
Эксперты отмечают, что команды не гнушаются работой на правительственные органы, но по большей части специализируются на вымогательстве и шантаже. При этом в нашем мире нет ничего постоянного, а известные команды хакеров распадаются, что можно назвать вполне закономерным процессом. По данным специалистов компании X.Y.Z.Z. (ранее известной как CyberDefenders), в последнее время участились попытки взлома российских предприятий, а за атаками стоит знаменитая Cloud Atlas. Нашим читателям хакеры могут быть известны под другими названиями. Это: Red October, Clean Ursa, Oxygen и Inception. Ранее представители этой группировки были замечены в атаках на компании в Беларуси, Турции, Словении и Азербайджане, но в какой-то момент исчезли из объектива журналистов. По данным аналитиков, Cloud Atlas занимается кибершпионажем и незаконным получением личной информации пользователей. В данном случае хакеры не поленились зарегистрировать почтовые ящики на @yandex.ru и @mail.ru, оставляя закладки в темах, содержащих посты в поддержку участников СВО.
После того как читатели таких ресурсов запускали файл, вложенный в электронной почте, активировался эксплойт CVE-2017-11882. Ну а данный зловред позволяет внедрить шелл-код, который загружает HTA-файл (HTML-приложение) с обфусцированным содержанием, создавая файл %APPDATA%\Microsoft\Windows\khaki.xml и другие файлы, такие как khakiing.vbs, khaki.vbs, khaki.hxn и khakiinit.vbs. Дополнительную опасность несёт и файл khaki.xml:khaki.hxn, благодаря работе которого поддерживается соединение с сервером хакеров. Последовательность действий постоянно повторяется, позволяя создавать временные петли, выкачивая информация с компьютеров жертв в неограниченном количестве. В последнее время атаки со стороны Cloud Atlas стали появляться на регулярной основе, а эксперты уверены, что в рядах хакеров состоят люди, для которых русский язык является родным. Не исключено, что это те же люди, которые ещё в 2013 году засветились во время операции Red October. Тогда методы хакеров были описаны благодаря действиям специалистов «Лаборатории Касперского». Что примечательно, представители Cloud Atlas не используют сложных инструментов для взлома. Похоже, ребята крайне традиционны и эксплуатируют уязвимости, существующие достаточно долгое время.
Ну а главная причина такого разгильдяйства заключается в том, что многие крупные компании не используют автоматическое обновление установленного ПО. Обычно руководство пользуется услугами специалистов, которые делают такие операции в ручном формате, а в итоге иногда компьютеры остаются под угрозой взлома годами. Эксперты указывают, что сегодня фишинг остаётся главным инструментом, при помощи которого хакеры получают доступ к компьютерам потенциальных жертв. Несмотря на то, что в последние годы в интернете появилось множество публикаций на тему того, как избежать неприятных сюрпризов, люди продолжают открывать присланные файлы и переходить по сомнительным ссылкам. По словам российских специалистов, атаки на отечественные предприятия удалось купировать, а под угрозой находилась агропромышленная организация и представитель госсектора. Увы, но конкретные названия не разглашаются.