Украинские госучреждения оказались под ударом кибершпионов
Исследователи компании ESET обнаружили кибершпионскую кампанию, нацеленную на украинские госучреждения. Злоумышленники заражают компьютеры жертв вирусами Quasar RAT, Sobaken и Vermin со схожим исходным кодом, с помощью которых похищают данные и аудиозаписи разговоров с компьютеров жертв.
Вирусы распространяются посредством фишинговых писем и уже заразили компьютерные сети нескольких сотен жертв из различных госучреждений Украины.
Отмечается, что Quasar представляет собой вредоносное ПО с открытым исходным кодом, предназначенное для слежки и хищения данных из зараженной системы. Sobaken - модифицированная версия Quasar, в которой отсутствуют некоторые функции, но исполняемый файл меньшего размера, поэтому его легче скрыть.
Vermin - самый опасный из трех вредоносов, подчеркивают эксперты. Помимо выполнения стандартных задач, таких как мониторинг происходящего на экране и загрузки файлов, он также содержит набор функций, которые позволяют включать запись звука, похищать пароли и считывать нажатия клавиш.
Примечательно, что вирусы модифицированы таким образом, чтобы работать только при русской или украинской раскладке с IP-адресами в пределах России или Украины. Если эти условия не соблюдены, вирус самостоятельно удалится.
По данным специалистов кибершпионская кампания активна, по меньшей мере с октября 2015 года, однако в ESET за активностью хакеров наблюдают со середины 2017 года. В январе о кампании впервые сообщили публично. С тех пор ее масштабы только прогрессируют, утверждают в ESET.
Кто стоит за атаками, пока неизвестно: атакующие, не обладая серьезными навыками и не имея доступ к неизвестным уязвимостям нулевого дня, мастерски используют социальную инженерию для незаметного распространения вирусов, заключают в компании.