Symantec: Российские хакеры взломали инфраструктуру иранских хакеров
Рекомендуем почитать: Xakep #243. Лови сигнал Содержание выпуска Подписка на «Хакер» Эксперты Symantec зафиксировали интересный случай: русскоязычная хакерская группа Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton), известная ИБ-специалистам уже давно, взломала другую небезызвестную хак-группу, иранскую APT34 (она же Oilrig, HelixKitten и Crambus). Кроме того, ИБ-специалисты обнаруживали следы Turla в атаках 20-летней давности. Впоследствии с группой связывали многочисленные инциденты информационной безопасности – захват спутниковых каналов связи для маскировки своей деятельности, атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность. Так, с начала 2018 года Turla атаковала 13 организаций в 10 различных странах, включая министерства иностранных дел в странах Латинской Америки, Ближнего Востока и Европы, министерство внутренних дел в Южной Азии, две правительственные организации на Ближнем Востоке и в Юго-Восточной Азии, а также правительственное учреждение неназванной страны в Южной Азии, базирующееся в другой стране. В одном из этих случаев аналитики обнаружили доказательства того, что в ноябре 2017 года Turla (Symantec называет группировку Waterbug) взломала инфраструктуру иранской APT34. На следующий день, 12 января 2018 года, Turla вновь использовала сеть APT34, загрузив дополнительную малварь на другие компьютеры, ранее скомпрометированные APT34, распространяя инструмент для кражи учетных данных Mimikatz. По информации Symantec, целью группировки стали власти неназванной страны Ближнего Востока. При этом исследователи отмечают, что Oilrig, похоже, никак не отреагировали на взлом своей инфраструктуры, хотя иранская APT оставалась активной в сети правительственного учреждения до конца 2018 года, используя для этого другую управляющую инфраструктуру. скрипты Visual Basic и PowerShell, использующиеся для разведки после первоначального заражения и первичных краж учетных данных; публично доступные инструменты, такие как IntelliAdmin для выполнения команд RPC, SScan и NBTScan для сетевой разведки, PsExec для развития атаки, а также Mimikatz (Hacktool.Mimikatz) для кражи учетных данных и Certutil.exe для загрузки и дешифровки удаленных файлов.Хакер Online
Эта новость в СМИ