+7 (812) 640 92 48

Про других Hunter

О том, как злоумышленники xHunter атаковали транспортные и судоходные организации богатого Кувейта и украли много разной информации через бэкдор.

#

Давно прошли те времена, когда хакеры писали вирусы, чтобы доказать самим себе свою крутость. Сейчас подавляющее большинство атак имеет сугубо меркантильные цели. В чём мы с тобой убеждаемся с каждой новостью.

Вот и сегодня исключения не случится.

Собственно, what happend?

В юго-западной Азии есть небольшая, но гордая страна Кувейт. Гордиться им и правда есть чем. Девять процентов мировых запасов нефти позволяют ребятам обеспечивать нехилый уровень жизни и самую дорогую в мире валюту.

Но сама по себе нефть на мировой рынок попасть не может. Её нужно на чём-то перевозить. Для этого в Кувейте базируется масса транспортных и судоходных организаций.

Вот по ним-то и прошлись атаки злоумышленников в этом и в прошлом году. Ребята из Palo Alto Networks посвятили расследование этой истории.

Если кратко, то утверждать, что оба раза злоумышленники были одни и те же, нельзя. Однако с высокой долей уверенности можно предположить, что разработчик зловредного ПО был единственный и неповторимый. Группировку злоумышленников назвали xHunt, поскольку для своих инструментов они использовали имена персонажей аниме Hunter x Hunter (все совпадения случайны!!!).

Что касается тактики

Оба раза злоумышленники использовали бэкдор (доступ через чёрный ход), а затем пробирались по нему в различные сегменты сетей транспортных компаний. Далее происходила кража информации. Здесь надо оговориться, что в данном случае бэкдоры не были изначально внедрены в программный код. Они действовали, как трояны, поражали систему и открывали дорогу для дальнейшеё работы злоумышленников.

В обоих случаях бэкдоры были подозрительно похожи, вплоть до количества функций и имён переменных. Инструменты, которые вступали в силу далее, вообще идентичны. Это Gon и EYE.

Первая тулза работает, как модные нынче миникамеры на подвижной длинной ножке. По выстроенному через бэкдор туннелю Gon пролезал внутрь сети, делал скриншоты, собирал информацию, искал выходы к следующим узлам, открывал сеанс протокола RDP (удалённого рабочего стола). Словом, осматривался по сторонам и запоминал, что видит.

EYE, в свою очередь, подчищал за напарником все возможные следы, которые тот оставлял в системе.

Ни один из найденных мной материалов не говорит об ущербе, который понесли транспортные компании. Однако, две атаки, длиной в несколько месяцев каждая, не могли пройти безобидно.

Мы с командой предположили, каким может быть урон:

  1.  Это могут быть отложенные прямые убытки для компании. Как слив большого массива информации, так и, например, шантаж;
  2.  Благодаря атаке можно использовать 0day exploit, а там уже – на что хватит фантазии злоумышленника;
  3.  Не стоит забывать, что подобные компании трепетно хранят данные, которые влияют на экономику в глобальном смысле. А это значит, что у атаковавших есть возможность нажиться не столько за счет конкретного бизнеса, сколько на тайных знаниях котировок, фьючерсов и  так далее.

Короче, сколько людей, столько и мнений.

Здесь трудно подвести какую-то мораль. Напомню только, что принцип целесообразности никто не отменял. И если ты – богатая нефтяная страна, готовься защищать своё богатство на самом продвинутом уровне.

Все новости в telegram, подписывайся!

08.10.2019 ,
Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

Принимаю соглашение об использовании персональных данных