Как говорится в сообщении компании ESET, на сегодняшний день у хакеров целью стали банки и госучреждения Восточной Европы и Центральной Азии. Так, хакерская группировка Buhtrap, которая известна атаками на российские компании, теперь занимается кибершпионажем.
Также в ESET уточнили, что пришли к выводам о переходе Buhtrap к кибершпионажу, во время исследования уязвимости в компоненте win32k.sys, которая дала возможность мошенникам в июне этого года создать таргетированную атаку на пользователей из Восточной Европы.
Аналитики подчеркнули, что в арсенал хакеров входит набор вредоносного программного оборудования (ПО), он попадает на устройства жертвы под видом легитимных программ. После ПО собирает пароли от почтовых клиентов и браузеров и пересылает данные на сервер преступников. Данная программа предоставляет своим операторам полный доступ к скомпрометированной системе жертвы.
В результате исследование предыдущих кампаний выявило, что хакеры часто подписывают вредоносные приложения легитимными сертификатами, а как приманки применяют вложения с документами. Выходит, что ранее группировка атаковала финансовые структуры отечественных организаций, при помощи прикладывания к письмам фальшивые счета-фактуры, контракты, акты сдачи-приемки. А в конце 2015 года группировка переключилась на банки и госучреждения, и в качестве приманок применялись фальшивые документы об изменении правил в банковском секторе, а также рекомендации Центробанка РФ.
Как отметил ведущий аналитик ESET Жан-Йен Бутен, всегда сложно связать атаку с конкретным исполнителем, в особенности если исходный код его механизмов находится в свободном доступе в сети. Эксперт уточнил, что поскольку смена целей случилась до утечки исходного года, они убеждены, что одни и те же люди стоят за первыми вредоносными кампаниями Buhtrap против бизнес-структур и банков и атаками против государственных учреждений.
