Контакты
Подписка
МЕНЮ
Контакты
Подписка

Опубликованы подробности деятельности хакерской группировки Energetic Bear

Опубликованы подробности деятельности хакерской группировки Energetic Bear

Опубликованы подробности деятельности хакерской группировки Energetic Bear


25.04.2018



Исследователи безопасности из подразделения ICS CERT "Лаборатории Касперского" проанализировали серверы, скомпрометированные хакерской группировкой Energetic Bear (также известной под названиями Dragonfly и Crouching Yeti) за последние несколько лет.

 Группировка проявляет активность по меньшей мере с 2010 года. В основном ее целями являются компании в энергетическом и промышленном секторах. В апреле 2018 года Министерство внутренней безопасности США (DHS) и Федеральное бюро расследований (ФБР) заявили о предположительной связи Energetic Bear с российским правительством.

 В текущем месяце компания Cylance опубликовала отчет о новой кампании хакеров, в ходе которой им удалось скомпрометировать один из маршрутизаторов Cisco и похитить учетные данные, что позволило группировке осуществить атаки, нацеленные на энергетические компании Великобритании.

 Исследователи "ЛК" проанализировали взломанные Energetic Bear серверы во множестве стран, в том числе в России, Украине, Великобритании, Германии, Турции, Греции и США. Большинство скомпрометированных серверов использовались для кибератак, сбора пользовательских данных, а также для размещения вредоносного ПО.

 В ходе атак группировка попыталась похитить различную информацию подключенных к скомпрометированным ресурсам пользователей, например, IP-адреса, логины, названия доменов и NTLM-хэш паролей, отметили эксперты.

 В некоторых случаях скомпрометированные серверы использовались для проведения атак на другие ресурсы, в ходе которых злоумышленники использовали широкий набор инструментов для сканирования web-сайтов и серверов. Большая часть просканированных ресурсов находилась в России, Украине, Турции, Бразилии, Грузии, Казахстане, Швейцарии, США, Франции и Вьетнаме.

 На скомпрометированных серверах специалисты обнаружили множество общедоступных инструментов, включая Nmap (утилита для сетевого анализа), Dirsearch (скрипт для принудительного поиска каталогов и файлов на сайтах), Sqlmap (программа для внедрения SQL-кода), Sublist3r (инструмент для подсчета поддоменов сайтов), Wpscan (сканер уязвимостей WordPress), Impacket, SMBTrap, Commix (поиск уязвимостей и ввод команд), Subbrute (перечисление поддоменов) и PHPMailer (отправка почты).

 Исследователи также обнаружили ряд вредоносных php-файлов в различных каталогах в папке nginx, а также в рабочем каталоге злоумышленников, созданном на зараженном сервере. Там также был обнаружен модифицированный файл sshd с предустановленным бэкдором.

 Заменив исходный файл sshd на зараженном сервере, злоумышленники могут использовать мастер-пароль для входа на удаленный сервер, оставляя минимальные следы.

 На взломанных серверах хакеры устанавливали нужные им инструменты в разное время. Члены группировки заходили на сервер примерно в одно и то же время суток и проверяли файл журнала smbtrap в рабочие дни.

 Как выяснили исследователи, в большинстве случаев группировка выполняла задачи, связанные с поиском уязвимостей и кражей данных для аутентификации.

 "С некоторой степенью уверенности можно предположить, что группа работает в интересах или принимает заказы от сторонних клиентов, выполняя первоначальный сбор данных, их хищение и подготовку системы к осуществлению кибератаки", - заключили специалисты.

Securitylab