Индусские хакеры 2 года крали документы в Пакистане
При изучении происшествия было обнародовано, что истоки данной кибератаки берут начало в Индии.
Мишенью кибератаки считалась воровство секретной информации с инфицированных ПК — для этого применялись разные методы, включая клавиатурный шпион, модуль снятия снимков экрана десктопа, модуль передачи бумаг на внутренний компьютер и т.д. После удачной атаки все полученные данные направлялись к мошенникам.
При организации атаки киберпреступники применяли работающий цифровой сертификат, которым подписывали вредные выполняемые документы. Такая роспись давала этим файлам огромную правомочность. Затронутый сертификат еще в 2011 году был получен организацией, размещенной в Нью-Дели (Индия). Вредное ПО, которое расписывалось этим сертификатом, распространялось через e-mail.
Киберпреступники скрывали вредные документы под электронные бумаги с будто бы значительным содержанием. Экспертами Eset было найдено несколько таких бумаг, которые, по всей видимости, должны были заинтриговать возможных потерпевших. Так, в одном из них применялась тематика индусских войск.
В настоящее время нет четкой информации о том, на какие как раз заведения была нацелена кибернетическая атака, но можно с полной уверенностью сообщить, что задачи атаки размещались в Пакистане. Данные системы телеметрии убедительно показывают, что как раз в данной стране вредный код показал самую большую энергичность (79% от полного количества обнаружений этой опасности понадобилось на Пакистан).
По данным специалистов Eset, для удачной установки вредного ПО мошенники могли использовать несколько векторов атаки. В одном случае применялся эксплойт для обширно знаменитой уязвимости CVE-2012-0158, которая может использоваться при помощи специально сформированного документа Майкрософт Офис – его изобретение на ранимой системе стимулирует выполнение случайного кода. Как говорилось выше, такие бумаги доставлялись возможным потерпевшим по e-mail. Открывая документ, клиент быстро для себя предпринял установку вредного ПО.
Другой вектор атаки принимался в рассылке по электронной почте выполняемых вредных документов, которые скрывались под документы Ворд либо PDF-документы. Для специальной маскировки и усыпления внимательности клиента, в процессе установки вредного ПО на самом деле отражался документ с некоторым содержанием.