Коронавирус опасен – даже в Сети

3 940

Как и любой кризис, текущая пандемия коронавируса привлекла внимание киберпреступников, использующих её для распространения своих вредоносных программ в сетях коммерческих и государственных организаций. По данным ведущих антивирусных компаний, таких как TrendMicro, Лаборатория Касперского и ESET, за последние месяцы число фишинговых писем на тему борьбы с COVID-19 увеличилось в десятки раз. В интернете появилось более 2,5 тысяч подозрительных ресурсов, где фигурируют слова covid, coronavirus и тому подобные. Они содержат ссылки на сайты-ловушки, а также вредоносные приманки, и зачастую нацелены на кражу персональных данных пользователей.

Особенностью этой хакерской кампании является то, что жертвами злоумышленников всё чаще становятся государственные учреждения, больницы и медицинские научно-исследовательские центры по всему миру. Причём для проведения таких атак хакерам не требуется высокой квалификации или значительных денежных затрат. По сути, кибератаку может совершить любой человек, обладающий определенными знаниями и навыками.

Например, для рассылок киберпреступники используют взломанные сервера, доступ к которым можно получить бесплатно через форумы в интернете, либо же за – символическую плату. При этом применяются сервисы анонимизации провайдеров из Китая, Румынии, России, Аргентины и других стран для сокрытия своих реальных IP-адресов. Для сбора данных из социальных сетей и микроблогов активно используются общедоступные простые скрипты и программы (так называемые «скрипт-кидди инструменты» – примитивный хакерский арсенал, освоить который сможет даже ребёнок). Кроме того, не стоит забывать, что в распоряжении хакеров также находятся инструменты и эксплоиты, ранее разработанные в АНБ и в результате «утечки» оказавшиеся в открытом доступе.

Злоумышленники действуют с территории любых государств, целенаправленно оставляя ложные цифровые следы для затруднения расследования компьютерных инцидентов. Это называется false flag: понятие заимствовано из жаргона спецслужб и означает операцию «под чужим флагом». К таким следам, как правило, относится IP-адрес выходного сервера, с которого проводилась атака, использование фишинговых писем с характерными языковыми ошибками, а также введение привлекающих внимание строковых констант в программном коде (например, слова «partizan», «razvedchik», «fsb» и т.п.) и проч.

Изучая жертву, интернет-преступники сканируют сети организаций с помощью утилиты nmap, находящейся в свободном доступе. Также они активно используют приложение DirBuster для брутфорса имен директорий и файлов веб-ресурсов в поисках скрытых каталогов и файлов. Все это, как уже отмечалось выше, не требует высокого технического порога вхождения.

Например, нашумевший шифровальщик-вымогатель CoViper, атаковавший на фоне пандемии коронавируса медицинские учреждения в Чехии, уничтожает загрузочный сектор жесткого диска компьютера. При этом реализующий данную атаку программный код, как отмечают эксперты, есть во множестве репозиториев GitHub. В серии инцидентов с чешскими больницами традиционно обвинены «русские хакеры», при этом никаких объективных свидетельств в пользу этих обвинений никем приведено не было, не говоря уже о серьезном анализе TTPs (Tactics, Techniques, and Procedures) – основополагающем методе расследования в области кибербезопасности.

Аналогичным путем пошел и Британский национальный центр кибернетической безопасности (NCSC), который в начале мая объявил о том, что ряд научно-исследовательских учреждений Соединенного Королевства, занимающихся поиском вакцины против коронавируса, атаковали хакеры из России, Китая и Ирана с целью кражи информации о разработках. Опять же – никаких доказательств. Очевидно, что рядовые, по сути, киберинциденты в настоящее время приобретают политическую окраску и носят все черты провокации. К сожалению, подобная практика бросает тень на принципы объективного расследования происшествий в киберпространстве, но является обычной на Западе и на постсоветском пространстве, где во всех проблемах традиционно видится «рука Кремля».

В заключение хочется отметить, что хакеры всегда стремятся максимально повысить эффективность своих акций. Один из способов для этого – использовать актуальную повестку дня. В условиях пандемии COVID-19 и сопутствующего ей информационного потока коронавирусная тематика – это беспроигрышный вариант.

Александр Фролов — специалист по информационной безопасности

Vpoanalytics.com

Конашенок попытался улететь в Армению, но был задержан в аэропорту Пулково, а позже, заикаясь от страха, записал видео, где принёс свои «глубочайшие извинения»

Сегодня и вчера стримеры наперебой извиняются за свои слова в прямом эфире, сказанные сразу после теракта. Одна женщина из Липецкой области в эфире говорила, что в Москве убили всего 113 человек, а на...

«Крокус-покус» Агаларовых: здание в кадастре не числится, а работали дети и самозанятые

Многие наверняка обратили внимание на школьников, выводивших людей из «Крокус Холла» в ходе теракта 22 марта. Они прославились на всю страну и получили уже немало наград. Правда, юридич...

Русская ракета попала "куда нужно". Варшава спешно отправила в отставку инструктора ВСУ после смерти генерала
  • ATRcons
  • Вчера 20:06
  • В топе

Решение об отстранении было принято на основании данных контрразведки Польши. Кадровые перестановки в "Еврокорпусе"  Пресс-служба Министерства обороны Польши сообщает об уволь...

Обсудить
  • :exclamation:
  • раьше на компах можно было защитить загрузчик сейчас почему-то нет...