Хакер #305. Многошаговые SQL-инъекции
Специалисты Check Point установили личность преступника-одиночки, который действовал в лучших традициях APT-групп и стоял за серией таргетированных атак, направленных против более 4000 компаний из энергетической, горнодобывающей и инфраструктурной отраслей.
Данная вредоносная кампания стартовала в апреле 2017 года и была нацелена на крупнейшие международные организации нефтегазовой, производственной, финансовой и строительной отраслей. Широкий размах операций, а также цели, которые выбирали злоумышленники, заставили экспертов поверить, что они имеют делать с APT-группой или неким спонсируемым государством агентством. Среди пострадавших от атак стран числятся Хорватия, Египет, Германия, Кувейт, Абу-Даби и так далее.
Теперь выяснилось, что эта кампания — дело рук одинокого двадцатипятилетнего гражданина Нигерии, который проживает неподалеку от столицы страны. На его странице в Facebook стоит статус: «Разбогатей или умри, пытаясь» (Get rich or die trying).
Злоумышленник, чье имя не раскрывается, использовал фишинговые письма, замаскированные под сообщения от компании нефтегазового сектора Saudi Aramco, второго в мире поставщика нефти. Мошенник рассылал эти послания финансовым работникам компаний, которые в ответ должны были раскрыть банковские данные или открыть вредоносное вложение. Стоит отметить, что злоумышленник практически не применял социальную инженерию и не изучал бэкграунд своих жертв, а послания зачастую были написаны весьма топорно и отправлялись с адресов sale.cement_till_tw@yahoo.com и cciticarinternational@yahoo.com.
Для компрометации жертв мошенник использовал троян NetWire, который позволяет полностью контролировать зараженное устройство, а также кейлоггинговую программу Hawkeye. Как ни странно, данная тактика привела к 14 успешным заражениям и принесла злоумышленнику несколько тысяч долларов.
Майя Хоровиц (Maya Horowitz), руководитель группы Threat Intelligence компании Check Point Software Technologies, комментирует:
«Несмотря на то, что этот человек использует некачественные фишинговые письма и вредоносные программы, которые легко найти в интернете, его кампания способна атаковать тысячи организаций по всему миру, заразив при этом несколько из них. Это демонстрирует, насколько легко непрофессиональный хакер может начать масштабную атаку, которая успешно обойдет защиту даже крупных организаций и позволит ему добиться преступных целей. Именно поэтому организациям необходимо совершенствовать свою систему безопасности, чтобы обеспечить защиту от фишинга и мошеннических писем. Также необходимо обучать сотрудников быть осторожными при открытии сообщений даже от компаний или личностей, которых они знают».
Как только кампания была обнаружена и удалось установить ее происхождение, исследовательская команда Check Point поставила в известность правоохранительные органы Нигерии, а также поделилась своими выводами на международном уровне.
Исследователи напоминают, что в последние 18 месяцев количество подобных атак, компрометирующих компании посредством почты (Business Email Compromise — BEC), резко возросло. Так, представители ФБР отчитались о 270% росте жертв с начала 2016 года. Общий объем ущерба, причиненного организациям по всему миру с 2013 по 2016 год, превышает три миллиарда долларов — таким образом, в среднем, жертва BEC-атаки теряет около 50 000 долларов за инцидент.