Российские эксперты в сфере защиты интернета зафиксировали волну кибератак на сайты дипломатических и государственных учреждений в странах Центральной и Юго-Восточной Азии. От действий злоумышленников в наибольшей степени пострадали пользователи в Узбекистане, Казахстане, Киргизии, Индии, Мьянме, Непале и на Филиппинах, сообщает пресс-служба «Лаборатории Касперского».

Для заражения устройств во всех этих странах атакующие применяют программу-эксплойт, использующую одну и ту же уязвимость в приложении Microsoft Office. Своей приверженностью именно этому зловреду отличались уже известные в киберпреступном мире группировки Platinum, APT16, EvilPost и SPIVY, однако на этот раз, как выяснили эксперты «Лаборатории Касперского», все следы ведут к новой группе – Danti, первые признаки активности которой были замечены в феврале текущего года, отмечают в пресс-службе.

Страны, подвергшиеся атакам киберпреступных групп

Происхождение Danti пока неясно, однако аналитики считают, что за Danti стоят китайскоговорящие хакеры. Атакующие распространяют эксплойт с помощью адресных фишинговых писем (фишинг – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей. – Прим. «Ферганы»), а для того чтобы убедить получателя открыть сообщение, они используют имена высокопоставленных государственных лиц в качестве отправителей. Как только эксплойт запускается на устройстве жертвы, в системе устанавливается программа, дающая атакующим полный доступ к конфиденциальным данным в зараженной сети.

Все указанные группы сосредоточены на целях в азиатском регионе и никогда не были замечены в атаках на страны Западной Европы и США. Особенность группы Danti в том, что она сосредоточена на дипломатических представительствах и лицах. Наиболее активным атакам подверглись получатели электронной почты, связанные с индийскими правительственными учреждениями, в частности министерством иностранных дел. По данным «Лаборатории Касперского», некоторые троянцы группы Danti были обнаружены в Казахстане, Кыргызстане и Узбекистане. Эти данные «Фергане» прокомментировал главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев:

- Вы можете сказать, какие ведомства или учреждения подверглись кибератакам в странах Центральной Азии – Узбекистане, Казахстане и Киргизии?

- Деятельность группировки киберпреступников, которую мы называем Danti, замечена начиная с 2015 года. Активная фаза их новой кампании была зафиксирована нами в феврале и марте 2016 года. Изначально их деятельность была нацелена преимущественно на правительственные организации Индии. Но в дальнейшем злоумышленники стали атаковать также и страны Центральной Азии, в особенности – Узбекистан, Казахстан и Киргизию. Они рассылали адресные письма с приложенным файлом формата DOCX, в котором преступники поменяли фрагмент кода.

Так как мы собираем полностью анонимную техническую информацию в Kaspersky Security Network (KSN), то мы не можем отследить, в каких именно компаниях или организациях были попытки заражений. Но, учитывая изначальную цель группировки – индийские госорганы – можно предположить, что в Узбекистане и двух других странах Центральной Азии эти попытки могли происходить в посольствах Индии. Однако совсем необязательно, чтобы были какие-то контакты с индийцами – как второй вариант, злоумышленники могли просто расширить географию атак.

- Каким образом были выявлены факты атак именно в этих странах?

- Для оперативной защиты от новых угроз мы используем облачную платформу KSN. Эта специальная облачная сеть объединяет пользователей как домашних продуктов, так и сотрудников компаний. С согласия пользователей KSN собирает и доставляет на централизованные серверы «Лаборатории Касперского» информацию обо всех попытках заражения и подозрительного поведения на миллионах пользовательских машин, защищенных продуктами компании. К этим данным добавляется информация из многих других источников (например, из исследований и расследований наших экспертов), и таким образом осуществляется постоянный мониторинг вирусной ситуации во Всемирной Паутине. Стоит новой вредоносной программе попытаться заразить хотя бы один компьютер, как информация о ней и ее действиях мгновенно поступает к экспертам «Лаборатории Касперского» через KSN. Программа получает соответствующий статус, после чего данные о ней рассылаются всем пользователям в течение 40 секунд, и последующие попытки заражения исключаются. В случае Danti, как только мы обнаружили и добавили в KSN данные об этой атаке, все пользователи наших продуктов получили защиту от нее. Дальше мы собирали статистику о срабатывании нашего антивирусного программного обеспечения на попытки заражения подобными атаками. Таким образом мы видели единичные случаи детектирования модулей Danti в Узбекистане, Казахстане и Киргизии.

Международное информационное агентство «Фергана»