Кибератаки на Mitsubishi Heavy Industries, RSA и Lockheed Martin могла осуществить одна и та же хакерская группа
По мнению главного антивирусного эксперта «Лаборатории Касперского» Александра Гостева, кибератаки на сервера компаний Mitsubishi Heavy Industries, RSA и Lockheed Martin возможно организовали одни и те же хакеры.
Напомним, что на прошлой неделе стало известно об атаке хакеров на сервера компании Mitsubishi Heavy Industries, Ltd, которая производит оружие для оборонных структур Японии, включая реактивные истребители F-15. По мнению экспертов, причиной атаки был промышленный шпионаж. А весной текущего года хакеры атаковали компьютеры компаний Lockheed Martin, поставщика пентагона, и компании RSA, которая выпускает средства криптографической защиты для крупных корпораций и государственных учреждений.
Александр Гостев предполагает, что серверы, которые использовались при атаке на Mitsubishi Heavy Industries, Ltd, были задействованы и при атаке на RSA и Lockheed Martin.
«Анализ вредоносных программ и серверов, с которыми взаимодействовали зараженные компьютеры, четко показывает наличие во всех этих атаках «китайского следа», - сообщает Александр Гостев.
Согласно предоставленным Гостевым данным, сейчас существует примерно 8-9 хакерских групп, которые занимаются шпионажем. Хакеры заинтересованы в конфиденциальной военной информации. Эти группы используют собственные вредоносные программы, которые редко обновляются. Атака на Mitsubishi Heavy Industries, Ltd была осуществлена при использовании ранее неизвестного трояна. Это свидетельствует о том, что либо одна из хакерских групп обновила свое вредоносное ПО, либо к атаке причастны ранее неизвестные хакеры.
По словам Гостева, точно об атаке можно сказать лишь то, что ей предшествовала тщательная подготовка.
Эксперт «Лаборатории Касперского» отмечает, что подготовка атаки на Mitsubishi Heavy Industries, Ltd могла длиться несколько месяцев. Об этом свидетельствует тот факт, что вредоносная программа, с помощью которой атаковались серверы Mitsubishi Heavy Industries, Ltd, долгое время не обнаруживалась большинством антивирусов. Внутри этой программы содержались точные адреса внутренних серверов компании, а также пароли и логины для доступа к ним. Эту информацию можно было добыть лишь путем предварительных изысканий.
Атака хакеров на Mitsubishi Heavy Industries, Ltd началась с одного компьютера, за которым работал сотрудник компании. Ему было прислано письмо с зараженным PDF-файлом. Для создания правдоподобного письма, хакерам нужно было добыть детальную информацию о конкретном сотруднике – распорядок дня, круг общения и список мероприятий, которые он планировал посетить. На компьютере сотрудника была установлена устаревшая версия программы Adobe Reader, которая содержала уже давно известную уязвимость. Именно эта уязвимость позволила хакерам установить на компьютер жертвы троянскую программу, которая установила зашифрованное соединение с сервером злоумышленников.
Гостев также заявил, что хищение данных осуществлялось хакерами вручную. Мошенники не загружали дополнительные модули, что позволило им избежать обнаружения службой безопасности компании в течение месяца.
www.securitylab.ru
публикации сходной тематики
- Скомпрометированные серверы Mitsubishi подключались к удаленным серверам в Китае и США
- Хакеры проникли в сеть концерна Mitsubishi Heavy Industries Ltd.
- Взлом Mitsubishi Heavy Industries может оказаться случаем международного шпионажа
- Mitsubishi разработала бесконтактный сенсорный экран
- Mitsubishi Electric покажет очень добрую сказку