Две Cyber-Spying Groups правительства Target Ближний Восток, энергетические компании

cyber-spying

Отдельные доклады показывают подробные эти двух шпионских сетей, сфокусированных на Ближнем Востоке, одного нацеленного в планирующей аналитике и второй сфокусированный на инфицировании энергетических компаний.Контрольная точка считает, что работа длилась с 2012. Первая версия вредоносного ПО, применяемого в работе, названной «Взрывчатым веществом» создателем злонамеренного инструмента, показалась в ноябре 2012.Laziok, думается, первая стадия большего нападения, сфокусированного на нефтегазовых отраслях, с вредоносным программным обеспечением, собирающим эти конфигурации, включая имя компьютера, установленное ПО и противовирусное ПО.

В случае если совокупность, будет казаться, будет воображать интерес, то атакующие пошлют дополнительные команды, чтобы потом заразить компьютер и развернуть их управление машиной.Тогда как атакующие применяли пользовательское вредоносное ПО, их тактика была достаточно распространена, не обращая внимания на то, что они вправду применяли сложные способы для сокрытия их идентификационных данных, сообщил он.Нападения почти всегда начинают со сканирований уязвимости стоящих с Интернетом серверов цели искать годные для применения не сильный места безопасности. Поставивший под угрозу сервер тогда употребляется в качестве берегового плацдарма, чтобы отыскать и заразить маленькое количество компьютеров в сети, сообщил Дэн Вайли, глава реагирования на инциденты для Контрольной точки, eWEEK.

Атакующие ограничили «спред заражения безотносительным минимумом, требуемым достигнуть цели атакующего при минимизации риска действия», говорилось в докладе Контрольной точки. «Отечественный анализ приводит нас считать, что атакующие проводят изрядное количество сбора информации для адаптации каждого заражения к его определенной цели».«Несколько сзади нападения, думается, не есть особенно передовой, когда они применяли ветхую уязвимость и применяли их наступление для распределения известных угроз, которые дешёвы на подземном рынке», заявил Symantec в его анализе. «Но многим людям все еще не удается применить патчи для уязвимостей, которые пару лет, оставляя себя открытыми для нападений этого вида».Первая кампания, названный «Изменчивый Кедр» Программными разработками Контрольной точки компании безопасности, предназначалась для правительственных учреждений, оборонных подрядчиков и других чувствительных отраслей в Израиле, Турции, США также в самом Ливане, согласно данным компании.Вторая кампания, вредоносное ПО которой вызывают троянское.

Лэзайок, предназначенное множество нефтегазовых компаний, больше чем половиной которых были в Районе Персидского залива Ближнего Востока, согласно анализу компанией безопасности Symantec. В отличие от Изменчивой работы Кедра, несколько сзади Лэзайока применяла Email спама от открытого реле, чтобы постараться стащить вредоносные-ladened присоединения в компанию.Более непростая работа, Изменчивый Кедр, не применяла направленный фишинг, но предназначалась для стоящих с общественностью серверов, ища уязвимости, которые они имели возможность применять, чтобы ввести и изучить сеть.

В попытке избежать обнаружения, атакующие весьма старались заразить лишь маленькое количество совокупностей.«Более разумеется, что это не просто главные проигрыватели, которые находятся в этой игре», сообщил Вайли. «Любой со свойством создать вредоносное ПО, может создать сложную сеть для шпионажа».Две кибершпионских сети предназначаются для правительств и компаний на Ближнем Востоке – с одним упрочнением, приписанным ливанской группе и второму, менее сложная кампания, предназначающаяся для энергетических компаний, согласно отчетам высвобожденных отдельными компаниями.

Множество доказательства убедило исследователей Контрольной точки, что несколько сзади Изменчивого Кедра действует из Ливана. Начальный Взрывчатый вариант был размещен в главном ливанском интернет-сервисе и в отказе операционной безопасности, краткая утечка записи WHOIS продемонстрировала адрес электронной почты, соединенный с кем-то, кто публично поддерживал Ливан.

Наконец, времена создания вредоносных компонентов являются соответствующими GMT + 2, часовой пояс страны, говорилось в докладе Контрольной точки.


TCNMS.RU