Исследователи Palo Alto Networks прервали шпионскую киберкампанию, которая проводилась хакерами из Ирана. Целью злоумышленников были внутренние сети правительственных организаций и частных компаний из разных стран мира.
В мае эксперты сообщили о том, что ими было обнаружено новое вредоносное программное обеспечение Infy, которое использовалось иранскими хакерами для шпионажа с 2007 года. Злоумышленники смогли на протяжении долгого времени скрывать свою активность, так как программа применялась только в рамках целевых атак. Эксперты утверждают, что существует более 40 разновидностей Infy.
Распространение Infy осуществляется с помощью писем с вложенными в них вредоносными текстовыми документами или презентациями. Программа может осуществлять сбор информации о зараженной системе, похищать учетные данные из браузера, а также включает в себя кейлоггер. Вся похищенная информация передается на С&С-сервер, находящийся под контролем злоумышленников.
Чтобы захватить контроль над доменами преступников, эксперты вышли на связь с организациями-владельцами серверов, входивших в состав С&С-инфраструктуры хакеров.
После того, как отчет Palo Alto Networks был опубликован, киберпреступники переместили свои домены на другие IP-адреса и разработали новую версию Infy. Однако не изменились шифрование и криптографические ключи, применявшиеся хакерами и давшие экспертам возможность выявить вредоносную программу. Основываясь на этом факте, исследователи сделали вывод, что хакерам ничего неизвестно об отчете.
Изначально эксперты захватили контроль над всеми доменами, исключая один. Хакеры продолжили использовать единственный оставшийся домен, но в результате также его потеряли.