Цели новой атаки Целями новой кибератаки вида APT (Advanced Persistent Threat — целенаправленная атака повышенной сложности) стали производители оружия, борцы за права человека и различные общественные организации в России и в нескольких близлежащих странах (Монголии, Белоруссии) и в нескольких европейских государствах, сообщает компания Proofpoint, специализирующаяся на информационной безопасности. По словам специалистов, атакующие действуют из Китая или, по крайней мере, создают такую видимость. Они также добавили, что атака продолжается с начала 2016 г. Использование архива RAR Заражение компьютеров жертв выполняется путем рассылки сообщений электронной почты с вредоносными ссылками или вложениями. Накануне рассылки хакеры изучают новости в сфере вооружений, военных учений, геополитики, ядерных вооружений и других близких тем. Затем, на основе наиболее актуальных событий, они формируют RAR-архив, содержащий исполняемый файл SCR с актуальным названием. Далее этот архив помещается на поддельных новостных сайтах. Например, в одном из случаев ссылка в письме имела следующий формат: www.info-spb[.]com/analiz/voennye_kommentaria/n148584.rarА. архив n148584.rar содержал исполняемый файл "Нападение на американские космические системы очень дорого обойдется.scr". Вот еще несколько примеров имен файлов: "Сервисное обслуживание и ремонт военной техники связи.scr", "Текст приветствия Главы государства.scr", "Пятнадцатое заседание Коллегии Евразийской экономической комиссии.scr", "Совместное антитеррористическое учение "Антитеррор-2016".scr" и "Изменения в списке аффилированных лиц по состоянию на 20.04.2016 г.scr". После запуска файла в систему устанавливается вредоносное приложение под названием NetTraveler (или TravNet). Использование уязвимости в Office В ряде случаев вместо ссылки злоумышленники прикрепляют к письму файл, например, с именем "Новый щит и новый меч Вооруженные Силы России и США.doc". Он действительно представляет собой документ Microsoft Word и содержит текст на упомянутую тему. В действительности же файл позволяет злоумышленникам с помощью уязвимости в Microsoft Office под номером CVE-2012-0158 также установить в систему жертвы приложение NetTraveler. После того как злоумышленники получают с помощью NetTraveler доступ к системе, они могут изучать хранящиеся на компьютерах файлы, читать электронную почту и другими способами собирать интересующую их информацию.
Хакеры атаковали российских разработчиков оружия, борцов за права человека и общественные организации в России. Хакерская кампания длится с начала 2016 г. До этого ее организаторы уже нападали на ПК российских вооруженных сил.