На минувшей неделе мы сообщали о расследовании кибернападений на энергетические предприятия в США, в организации которых подозревают российских хакеров. Главными подозреваемыми являются члены кибергруппировки Energetic Bear (Dragonfly, Crouching Yeti).
Хакеры активно действуют с 2010 года и проводят кибератаки на энергетические предприятия как минимум с 2014 года.
Подробно об опасности, существующей для американских компаний, рассказали специалисты Cisco Talos. Как утверждают эксперты, с помощью фишинговых рассылок злоумышленники пытались украсть учетную информацию, предназначенную для авторизации в локальных сетях.
С мая хакеры Energetic Bear начали рассылку электронных писем с документом Word, замаскированным под резюме от соискателей работы, для сотрудников энергетических корпораций. Эксперты изучили прикрепленные к письмам файлы, которые оказались безвредными. Но специалистам удалось случайно обнаружить кое-что подозрительное. Исследователи заметили сообщение о статусе при загрузке Microsoft Office. С его помощью эксперты обнаружили, что текстовый документ скрытно осуществлял загрузку шаблона Word с удаленного сервера.
В ходе дальнейшего анализа выяснилось, что файл пытался наладить соединение с удаленным SMB-сервером. Благодаря подключению к серверу, хакеры пытались обманом получить у устройства учетную информацию для входа в локальную сеть. Данная схема уже давно применяется хакерами.
Как утверждают эксперты, большинство серверов, используемых в атаках, уже отключены, что указывает на желание хакеров оперативно скрыть следы своей активности.