Хакерська група POLONIUM (APT) атакувала цілі в Ізраїлі за допомогою раніше невідомих бекдорів і інструментів кібершпигунства. Угруповання використовує для атак переважно хмарні сервіси. Дослідники ESET назвали зловмисне програмне забезпечення «моторошним». Кажуть, що група працює з Іраном.
Згідно з аналізом дослідників європейського виробника ІТ-безпеки, хакери атакували більше десятка організацій принаймні з вересня 2021 року. Остання акція групи відбулася у вересні 2022 року. Цільові галузі цієї групи включають машинобудування, інформаційні технології, право, комунікації, брендинг і маркетинг, ЗМІ, страхування та соціальні послуги.
Хакерська група, ймовірно, пов'язана з Іраном
За словами різних експертів з безпеки, POLONIUM — це оперативна група, що базується в Лівані, яка координує свою діяльність з іншими суб’єктами, пов’язаними з Міністерством розвідки та безпеки Ірану.
«Численні версії та зміни, внесені POLONIUM у власні інструменти, показують, що група постійно та довгостроково працює над шпигуванням за своїми цілями. На основі свого набору інструментів ESET робить висновок, що вони зацікавлені в зборі конфіденційних даних. Схоже, що група не причетна до будь-яких диверсій чи програм-вимагачів», — каже дослідник ESET Матіас Пороллі, який аналізував шкідливе програмне забезпечення POLONIUM.
Зловживання хмарними службами
За словами дослідників ESET, хакерська група POLONIUM дуже активна та має великий арсенал шкідливих програм. Вони постійно модифікуються та створюються заново акторами. Спільною рисою кількох інструментів групи є зловживання хмарними службами, такими як Dropbox, Mega та OneDrive для комунікацій командування та контролю (C&C). Розвідувальна інформація та публічні звіти про POLONIUM дуже рідкі та обмежені, ймовірно, через те, що атаки групи є дуже цілеспрямованими, а початковий вектор компрометації невідомий.
Інструменти кібершпигунства хакерської групи POLONIUM складаються із семи спеціально створених бекдорів: CreepyDrive, який зловживає хмарними службами OneDrive та Dropbox для C&C; CreepySnail, який виконує команди, отримані з власної інфраструктури зловмисників; DeepCreep і MegaCreep, які використовують служби зберігання файлів Dropbox і Mega відповідно; а також FlipCreep, TechnoCreep і PapaCreep, які отримують команди від серверів зловмисників. Група також використовувала кілька спеціальних модулів, щоб шпигувати за своїми цілями. Вони можуть робити знімки екрана, реєструвати натискання клавіш, стежити за допомогою веб-камери, відкривати зворотні оболонки, вилучати файли та багато іншого.
Багато дрібних інструментів для ланцюжка атак
«Більшість шкідливих модулів групи невеликі та мають обмежену функціональність. В одному випадку зловмисники використовували один модуль для створення скріншотів, а інший – для завантаження їх на C&C сервер. Подібним чином вони люблять розділяти код у своїх бекдорах і розподіляти шкідливі функції в різні невеликі бібліотеки DLL, можливо, з розрахунком, що захисники або дослідники не спостерігатимуть за всім ланцюжком атак», — пояснює Пороллі.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.