Эксперты вышли на след крупнейшей группировки киберпреступников
Корпорация Symantec заявила о выявлении новой угрозы — хакерской группировки под названием The Elderwood Project. По данным компании, за последние три года члены этой группировки совершили большое число успешных целевых атак на компании различных секторов промышленности и негосударственные организации. Основной же целью мошенников являлась внутренняя информация компаний военно-промышленного комплекса — преимущественно из США, Канады и Китая.
В отчете The Elderwood Project, опубликованном компанией Symantec в пятницу, новая угроза названа «беспрецедентной». По данным компании, впервые данная группировка привлекла к себе внимание специалистов в 2009 году, осуществив атаку на Google и другие организации при помощи троянской программы Hydraq (Aurora). На протяжении последних трех лет осуществляемые ею атаки были направлены на предприятия различных секторов промышленности, а также на негосударственные организации. В качестве жертв выбирались компании преимущественно из США и Канады, а также из Китая, Гонконга, Австралии и некоторых других европейских и азиатских стран. По данным Symantec, основными целями зафиксированных атак были организации из цепочки поставок предприятий оборонного сектора, в основном ведущие предприятия оборонной промышленности. «Группировку интересуют компании, производящие электронные или механические компоненты вооружений и систем, которые продаются ведущим оборонным корпорациям,— говорится в отчете.— Атакующие, видимо, рассчитывают на меньший уровень защищенности подобных производителей и используют их в качестве ступенек лестницы, ведущей к интеллектуальной собственности, предназначенной для производства компонентов или крупной продукции ведущими поставщиками».
Хакеры осуществляли свои атаки несколькими способами. В частности, они использовали большое количество «уязвимостей нулевого дня» — недавно обнаруженных или только появившихся уязвимостей в операционных системах или программах, еще неизвестных их разработчикам. Чаще всего они использовали уязвимости в Adobe Flash Player в Microsoft Internet Explorer. «Серьезные уязвимости нулевого дня, предоставляющие несанкционированный доступ к широко используемым программным компонентам, встречаются в свободном доступе очень редко,— поясняется в докладе Symantec.— Например, в рамках, пожалуй, самого широко известного проекта Stuxnet их было использовано всего четыре. Однако в рамках The Elderwood Project их уже используется вдвое больше — восемь. Ни одна другая группировка никогда не демонстрировала ничего подобного». Чтобы выявить подобные уязвимости, хакеры должны были получить доступ к исходному коду ряда широко используемых программных приложений или провести их декомпиляцию, для чего, по словам экспертов Symantec, «требуются очень и очень серьезные ресурсы».
В отчете отмечается, что одним из векторов атак группировки The Elderwood Project является использование так называемых watering hole-сайтов — хакеры крадут информацию с компьютеров избранных жертв, заражая их троянской программой через часто посещаемые ими сайты. «Концепция атаки в данном случае аналогична действиям хищника, поджидающего свою жертву в оазисе посреди пустыни,— поясняет эксперт Symantec по информационной безопасности Андрей Зеренков.— Он знает, что жертва рано или поздно придет на водопой, и ждет, вместо того чтобы вести активную охоту». По его словам, так же действуют и злоумышленники. Они определяют веб-сайты, которые посещают интересующие их конкретные люди, взламывают их и встраивают эксплойты (вредоносные программные коды) на страницы, которые должна посетить жертва. «Любой посетитель сайта будет подвержен воздействию внедренных эксплойтов, и, если его компьютер будет ими взломан, на него будет установлена троянская программа»,— заключает эксперт.
В докладе Symantec нет данных о том, в чьих интересах действует The Elderwood Project, сколько членов в этой группировке и с территории каких стран исходят атаки. При этом в документе говорится, что «компании и частные лица должны быть готовы к новому витку развития атак в 2013 году». На вопрос “Ъ”, какие именно предприятия оборонного комплекса или других отраслей промышленности пострадали от действий членов The Elderwood Project, в компании отказались ответить, сославшись на конфиденциальность информации.