Стали известны подробности кибератак на британский энергетический сектор

20

Мар

Стали известны подробности кибератак на британский энергетический сектор

Стали известны подробности кибератак на британский энергетический сектор

Группировка DragonFly взломала маршрутизатор Cisco в сети вьетнамского производителя нефтедобывающего оборудования.

Стали известны подробности атак хакерской группировки DragonFly (предположительно связанной с российским правительством) на британские энергетические компании в марте 2017 года. По словам исследователей кибербезопасности из компании Cylance, группировке удалось скомпрометировать маршрутизатор Cisco и с его помощью проникнуть в сети компаний.

Хакерская группировка DragonFly 2.0, также фигурирующая под названиями Energetic Bear и Koala, стала известной после атак на энергетический сектор стран Европы и Северной Америки. Осенью 2017 года Министерство внутренней безопасности США и Федеральное бюро расследований обвинили группировку в кибератаках на ряд ядерных, энергетических, авиационных, промышленных предприятий, а также системы водоснабжения.

Как выяснили исследователи, в мартовских атаках группировка взломала главный маршрутизатор Cisco в сети крупнейшего вьетнамского производителя нефтедобывающего оборудования для хищения учетных данных пользователей, которые затем использовались в фишинговых письмах, адресованных компаниям энергетического сектора Великобритании.

В настоящее время неясно, как именно был взломан маршрутизатор, и каким образом злоумышленникам удалось выйти на британских энергетиков через вьетнамскую компанию. Неизвестно, был ли производитель нефтедобывающего оборудования поставщиком для объектов из Великобритании. В ходе исследования специалистам не удалось обнаружить прямой связи между компаниями.

«Мы обнаружили документ-приманку, встроенный в один из хэшей вредоносного ПО, используемого группировкой. На данный момент мы выяснили, что документы предназначались людям, задействованным в энергетическом секторе Великобритании», — отметили специалисты.

При открытии вредоносного документа жертвы подключались к скомпрометированному маршрутизатору, который автоматически аутентифицировал их на SMB-сервере злоумышленников. Таким образом маршрутизатор собирал все введенные учетные данные.

В настоящее время исследователи ведут дальнейшее расследование деятельности группировки.

Напомним, ранее правительственные ведомства США официально обвинили «русских хакеров» в атаке на критическую инфраструктуру страны. Согласно опубликованному Министерством внутренней безопасности США и Федеральным бюро расследований отчету, киберпреступники атакуют американские электростанции и другие объекты критической инфраструктуры по меньшей мере с марта 2016 года.

Поделиться этим постом

похожие

посты