Хакерская группировка ChamelGang атаковала российские компании топливно-энергетической и авиационной промышленности

[душман]

Специалисты в сфере информационной безопасности сообщили о появлении новой хакерской группировки ChamelGang, которая нацелилась на учреждения в десяти странах, включая Россию. Согласно имеющимся данным, за последние несколько месяцев хакеры атаковали отечественные компании топливно-энергетического комплекса и авиапрома, причём минимум в двух случаях им удалось добиться успеха. Об этом сегодня пишет «Коммерсант» со ссылкой на данные компании Positive Technologies.

Источник отмечает, что хакеров из ChamelGang интересуют данные, которые можно извлечь после компрометации внутренних сетей компаний. Специалисты не исключают, что группировка может действовать в интересах правительства одной из стран. Первые атаки упомянутой группировки зафиксированы в марте, а список атакуемых предприятий, помимо российских, состоит из компаний из Индии, США, Тайваня, Германии и др.

Название группировки от слова chameleon не случайно, в рамках своей деятельности хакеры маскируют вредоносное программное обеспечение и сетевую инфраструктуру под легитимные сервисы.Например, они осуществляют регистрацию фишинговых доменов под видом сервисов поддержки, доставки контента и обновлений Microsoft, TrendMicro, McAfee, IBM, Google и др. В арсенале хакеров обширный набор инструментов, включая ранее не описанное вредоносное ПО.

Специалистам удалось отследить несколько атак ChamelGang. В одной из них хакеры сначала атаковали дочернее предприятие, а через несколько дней напали на головную организацию. Каким-то образом они узнали пароль локального администратора одного из внутренних серверов, за счёт чего им удалось проникнуть во внутреннюю сеть компании по протоколу удалённого рабочего стола RDP. 

В течение трёх месяцев злоумышленники оставались незамеченными, в результате чего им удалось взять под контроль большую часть внутренних сетей. Во второй атаке хакеры использовали для проникновения во внутреннюю инфраструктуру несколько связанных уязвимостей Microsoft Exchange, о которых стало известно в августе.