Эксперты «Лаборатории Касперского» подготовили отчет о деятельности кибергруппировки StrongPity, за которой они наблюдают на протяжении нескольких лет. Если раньше для компрометации целей злоумышленники пользовались преимущественно уязвимостями нулевого дня, то летом текущего года они поменяли тактику и теперь применяют другие способы. Первоначально активность киберпреступников была направлена на бельгийских и итальянских пользователей, однако теперь хакеры существенно расширили зону своих действий.
Хакеры StrongPity пользуются хитрой тактикой для проникновения в более защищенные системы. Поскольку некоторые цели киберпреступников пользуются различными средствами для шифрования данных и обеспечивают более высокий уровень защиты своих системы, чем простой пользователь, злоумышленники разработали новую технику. Выяснилось, что жертвы хакеров нередко применяют для защиты своей информации WinRAR, в котором используется алгоритм шифрования AES-256, и TrueCrypt, имеющий возможность полностью зашифровать жесткий диск. Чтобы преодолеть такую защиту, хакеры StrongPity пользуются приемами социальной инженерии и атаками типа watering hole.
Киберпреступники в мае этого года зарегистрировали домен ralrab.com, который похож на официальную веб-страницу разработчиков WinRAR rarlab.com. Этот фальшивый ресурс охарактеризован на страницах winrar.be как официальный. В действительности сайт хакеров занимался распространением не обычного WinRAR, а версии архиватора, инфицированной бэкдором. Она давала StrongPity возможность следить за пользователями, установившими фальшивый WinRAR. Похожая схема была использована хакерами в случае с ресурсом winrar.it, однако на сайте не было ссылки на ralrab.com. Распространение вредоносной программы осуществлялось самим ресурсом winrar.it.
В сентябре кибергруппировка начала перенаправлять посетителей ресурса tamindir.com на веб-страницу true-crypt.com, которая являлась копией легитимного сайта, принадлежавшего создателям TrueCrypt. С помощью true-crypt.com злоумышленники занимались распространением версии TrueCrypt, оснащенной бэкдором. В результате хакеры получали доступ даже к системе, защищенной шифрованием.
Как сообщают эксперты «Лаборатории Касперского», в ходе этих кибернападений преступники взломали свыше 1000 систем в Алжире, Бельгии, Италии и Франции. Следы активности StrongPity были зафиксированы в других африканских, ближневосточных и европейских странах.