Эксперты «Лаборатории Касперского» рассказали РБК о компрометации официального сайта Московской кольцевой железной дороги. Ресурс был заражен банкером Panda.
В пресс-службе «Лаборатории Касперского» сообщили, что вредоносная активность была обнаружена 8 июля 2019 года, и сайт МКЖД был заражен с прошлых выходных. По оценкам аналитиков, в итоге под угрозой оказались несколько тысяч пользователей со всего мира (на Россию пришлось только 27% атак).
По данным РБК и исследователей, атака была разделена несколько этапов. Сначала операторы данной кампании заразили машины жертв малварью при помощи классических фишинговых писем с вредоносными документами. Затем, на втором этапе атаки, был взломан и заражен сайт МКЖД. Именно к нему в итоге обращалась малварь на компьютерах жертв, получая команду от злоумышленников на загрузку вируса. Загруженный с сайта вредонос, в свою очередь, скачивал в систему жертвы известный инструмент Cobalt Strike.
«Они атакуют легитимный ресурс, который может находиться в так называемых белых списках, и в случае успешного проникновения размещают на нем компоненты вредоносного ПО», -- объясняют аналитики.
Сообщается, что в настоящее время специалисты «Лаборатории Касперского» совместно с департаментом информационных технологий (ДИТ) города Москвы уже устранили проблему с сайтом МКЖД. Хотя пока Google еще предупреждает пользователей, что сайт может быть взломан, и на момент написания этой новости ресурс и вовсе был недоступен, отвечая ошибкой 502.
