Как сообщили специалисты из Cisco Talos, группировка хакеров из Восточной Европы FIN7 (Carbanak) осуществила взлом правительственных серверов США, чтобы распространять фишинговые письма от имени Комиссии по ценным бумагам и биржам (Securities and Exchange Commission, SEC).
Проведя анализ технологий, применявшихся при взломе, специалисты сделали вывод, что кибератаки были, скорее всего, проведены хакерами из FIN7. Киберпреступники пользовались сложной техникой взлома и рассылали спам-сообщения, замаскированные под письма от SEC. В письмах говорилось об утечке финансовой информации из базы данных EDGAR. К сообщениям был прикреплен вредоносный документ Microsoft Word.
Как утверждает исследователь информационной безопасности Крейг Уильямс, киберкампания была направлена против конкретных предприятий в США, работающих в сферах ИТ, финансов и страхования.
Действия хакеров очень сложно отслеживать, поскольку они задействовали многоуровневую цепочку заражения, которая использовала функционал динамического обмена данными (Dynamic Data Exchange, DDE) в Microsoft Word для того, чтобы дистанционно выполнять вредоносный код. Помимо этого, хакеры применяли команды DNS для того, чтобы скрытно устанавливать соединение со взломанным правительственным сервером, который автоматически загружал на зараженную компьютеры вредоносную программу DNSMessenger.
Вредоносные документы запрашивали файлы с сервера, размещенного в штате Луизиана. После того, как об инциденте стало известно, сервер отключили. На нем хранился исходный код, применявшийся для передачи дополнительных компонентов цепочки атак.
Как утверждают специалисты, такая методика эффективна против крупных корпораций и правительственных ведомств. Хотя в Microsoft знают о проблемах в протоколе DDE, который обычно применяется для одноразовой передачи информации или непрерывного обмена обновлениями, сотрудники корпорации так и не подготовили патч для исправления уязвимостей.