Американская компания Palo Alto Networks, специализирующаяся на борьбе с киберугрозами, сумела вывести из строя командные серверы, которые в течение девяти лет использовала группа хакеров из Ирана.
В мае Palo Alto Networks опубликовала расследование, разбирающее деятельность группы злоумышленников, которая действовала по меньшей мере с 2007 года. При атаках эта группа применяла п вредоносную программу собственной разработки под названием Infy. Главная функция Infy — слежка.
За девять лет хакеры сумели поразить 326 целей в 35 странах мира. По меньшей мере треть жертв Infy и её более новой модификации Infy M располагалась в Иране. Это подтвердило подозрения специалистов Palo Alto Networks, что создатели Infy базируются именно в этой стране.
На машины значительной доли жертв были установлены обе программы — и Infy, и Infy M. На компьютерах 93% жертв обнаружилась Infy. Компьютеры 60% жертв были поражены Infy M. Двойное заражение может объясняться различиями в функциональности Infy и Infy M. Кроме того, не исключено, что злоумышленники выборочно устанавливали Infy M самым перспективным жертвам.
Незначительное число жертв указывает на то, что с каждой из них злоумышленники работали индивидуально. При этом атаки продолжаются без малого десять лет. Это необычно долгий срок. Всё указывает на то, что Infy используют не киберпреступники, а спецслужбы.
При помощи хостеров, с которыми сотрудничали злоумышленники, Palo Alto Networks удалось взять под свой контроль всю сетевую инфраструктуру иранских хакеров. Правда, это произошло не сразу. Компании понадобилось две попытки, чтобы довести дело до конца.
Сначала Palo Alto Networks захватила лишь некоторые командные серверы злоумышленников. Реакция последовала незамедлительно. Оставшиеся серверы принялись распространять обновлённые версии вредоносных программ, в которые зашит изменённый набор адресов IP. Впрочем, это их не спасло. Позднее компания получила контроль и над другими командными серверами.