В кибершпионе «Дикий Нейтрон» обнаружили команду на русском языке
«Лаборатория Касперского» зафиксировала возобновление активности кампании кибершпионажа, известной как Wild Neutron (также как Jripbot и Morpho) и в первый раз обнаруженной в 2013 году — тогда от нее пострадало несколько узнаваемых компаний, включая Apple, Facebook, Twitter и Microsoft. После того как эти инциденты получили огласку, организаторы кибершпионской операции «свернули» свою деятельность. Но в 2015 году они вновь активировались.
Цель Wild Neutron — получить секретную информацию разных организаций. Исследователи «Лаборатории Касперского» узнали, что жертвами кампании кибершпионажа стали пользователи в 11 странах и территориях, а именно в Рф, Франции, Швейцарии, Германии, Австрии, Словении, Палестине, ОАЭ, Казахстане, Алжире и США. Среди пострадавших юридические конторы, инвестиционные компании, организации, работающие с криптовалютой Bitcoin, группы компаний и предприятия, вовлеченные в сделки слияния и поглощения, IT-компании, учреждения здравоохранения, риэлтерские компании, также личные пользователи.
Вредное ПО попадает в системы жертв через уязвимость в Flash Player — инфецирование осуществляется с помощью программ-эксплойтов, размещенных на скомпрометированных сайтах. Эти эксплойты в свою очередь доставляют в инфицированную систему загрузчик вредного ПО, который подписан законным сертификатом, по всей видимости, украденным у известного разработчика потребительской электроники. Наличие реального сертификата позволяет зловреду избегать детектирования некоторыми антивирусными решениями. Вот поэтому этот сертификат сейчас отзывается.
Организаторы кампании кибершпионажа приложили много усилий для того, чтоб защитить свою вредоносную инфраструктуру. Так, им удалось скрыть адрес своего командно-контрольного сервера, с помощью которого они держут под контролем все зараженные системы. Кроме этого, они достигнули того, что сервер восстанавливает свою работу даже после отключения.
Исходя из целей Wild Neutron, аналитики подразумевают, что за этой кампанией не стоят никакие госструктуры либо спецслужбы. Все же использование уязвимостей нулевого дня, наличие кроссплатформенных зловредов и ряд других продвинутых техник позволяют мыслить, что за атаками стоит мощная группировка, может быть, движимая экономическими интересами.
Происхождение самих атакующих также остается загадкой. В некоторых экземплярах вредного кода встречается строчка на румынском языке “La revedere”, что означает «до свидания». Эта команда используется для окончания сессии коммуникации с командно-контрольным сервером. Кроме этого, специалисты «Лаборатории Касперского» нашли команду и на российском языке — написанное латиницей слово «успешно».
«Wild Neutron — опытнейшая кибергруппировка, использующая различные техники атак. Она активна с 2011 года и всякий раз использует само мало одну уязвимость нулевого дня, сделанное под определенные задачи вредное ПО и инструменты для систем Windows и OS X. Невзирая на то что в прошедшем эта группировка штурмовала известные на весь мир компании, в целом эти люди предпочитают не связываться с звучными именами и старательно защищают свои вредные операции, из-за чего до этого времени не удалось установить их происхождение. А вообще группа, атакующая большие IT-компании, разработчиков шпионского ПО (FlexiSPY), исламистские форумы и Bitcoin-компании, позволяет представить, что у нее гибкие и очень необыкновенные интересы и цели», — рассказывает Костин Райю, управляющий Глобального центра исследовательских работ и анализа угроз «Лаборатории Касперского».