Словацкая компания ESET, выпускающая антивирус NOD32, раскрыла методы слежения украинских хакеров за представителями власти и общественности. Как стало известно «Фразе», этот антивирус установлен почти на 70% компьютерах госструктур Украины.
Компания в релизе отмечает, что отдельные лица в Украине проводят операцию Groundbait («Прикормка»), ее цель — в первую очередь киберслежка за представителями самопровозглашенных Донецкой и Луганской народных республик, сообщает «Экономическая правда».
«В качестве инструмента украинские хакеры используют вредоносную программу, которую продукты ESET классифицируют как Win32/Prikormka», — сообщают ESET в своем исследовании.
Как отмечается, впервые специалисты ESET ее обнаружили в третьем квартале 2015 года. Дальнейшие исследования показали, что данная угроза начала распространяться по меньшей мере с 2008 года.
Для распространения программы в ходе операции Groundbait в большинстве случаев использовались фишинговые электронные письма.
«В ходе исследования мы обнаружили большое количество образцов, каждый со своим ID кампании и привлекательным именем файла, чтобы вызвать интерес у жертвы», — раскрывает методы украинских хакеров исследователь угроз ESET Антон Черепанов.
Злоумышленники, как хакеров называет компания ESET, применяют приемы социальной инженерии для убеждения жертвы открыть вредоносное письмо. В частности, используют провокационные и привлекательные названия писем электронной почты.
Кроме того, как отмечается, жители Донецкой и Луганской областей были не единственными мишенями операции.
В ESET утверждают, что под удар попали украинские государственные чиновники, политики, журналисты, представители «Правого сектора», представители религиозных организаций.
В ходе исследования операции Groundbait специалисты ESET выявили ряд доменов командных серверов и IP-адресов. Большинство из них расположены в Украине и размещены украинскими хостинг-провайдерами.
Один из командных серверов gils.ho [.] Ua используется в операции с 2008 года, согласно информации, полученной от хостинг-компании.
Для прикрытия своей незаконной деятельности, хакеры создали поддельный веб-сайт, посвященный столице Украины — Киеву.
В ходе исследования специалисты ESET получили доступ к командной операции сервера Groundbait, который из-за неправильных настроек разрешил создание списков папки общего доступа.
«В определенный момент корневая директория содержала 33 подкаталога с отдельной папкой для каждой жертвы. Это означает, что сервер был использован для управления 33 компьютерами, инфицированными угрозой Prikormka», — говорится в сообщении.
В качестве заключения специалисты ESET отмечают, что вредоносная программа Prikormka является первым обнаруженным украинским вредоносным программным обеспечением, которое используется для целенаправленных атак.