Индийские хакеры атаковали норвежскую Telenor

Недавнее вторжение в компьютерную сеть норвежского телекоммуникационного оператора Telenor представляло собой крупномасштабную кибершпионскую операцию, имеющую индийское происхождение и ранее опробованную на нескольких крупных предприятих, правительственных и политических организациях в разных странах.

Исследователи из этой компании проанализировали образцы вредоносного софта, использованного во время атак на Telenor. Сама атака началась с рассылки фейк e-mail писем, отправленных менеджменту Telenor. Изначально о факте фишинговых писем в адрес Telenor сообщила норвежская NorCERT (Norwegian Computer Emergency Response Team).

В случае с Telenor хакеры использовали персональные письма с вредоносными вложениями и текстом, подобранным под каждого получателя индивидуально. Здесь же атакующие использовали эксплоиты, работавшие в популярных программах: Windows common controls (CVE-2012-0158), Internet Explorer (CVE-2012-4792), Java (CVE-2012-0422) и другие. Норвежские специалисты полагают, что при помощи рассылки разных эксплоитов хакеры просто выявляли, какие из приложений сработают.

На сегодня точно неизвестно, сколько жертв в Telenor было затронуто в рамках данной кампании, так как исследователи не смогли получить доступа к C&C-серверам, работавшим в интересах хакеров. В Norman говорят, что по крайней мере несколько топ-менеджеров Telenor стали жертвами хакеров, так как на их компьютерах были выявлены следы компрометации.

Также авторы расследования обращают внимание на то, что в случае с данной атакой хакеры тюнинговали вредоносное программное обеспечение и точно ориентировали его на своих жертв, работая предельно индивидуально. Norman также удалось исследовать образцы вредоносных программ и был сделан вывод о том, что атакующий софт писали различные разработчики, а к проекту была подключена группа разработчиков, специализирующихся на модульных вредоносах.

Сегодня же антивирусная компания Eset сообщила о раскрытии целенаправленной атаки, которая два года использовалась для хищения конфиденциальной информации в Пакистане и ряде других стран. При расследовании инцидента стало известно, что корни этой кибератаки берут начало в Индии. При организации этой атаки хакеры использовали действующий цифровой сертификат, которым подписывали вредоносные исполняемые файлы. Упомянутый сертификат еще в 2011 году был получен компанией, расположенной в Нью-Дели (Индия).

Хакеры маскировали вредоносные файлы под e-mail документы с якобы важным содержанием. Специалистами Eset было обнаружено несколько подобных документов, которые, судя по всему, должны были заинтересовать потенциальных жертв.