Раскрыты подробности разрушительной кибератаки на правительство Албании » mogilew.by
 

Раскрыты подробности разрушительной кибератаки на правительство Албании

Иран Албания Mandiant ROADSWEEP HomeLand Justice ZeroClear
За атакой стоит политически мотивированный Иран.
Раскрыты подробности разрушительной кибератаки на правительство Албании

ИБ-компания Mandiant заявила , что за серией разрушительных кибератак на правительственные службы Албании в середине июля 2022 года стоит злоумышленник, работающий в интересах Ирана . Эта атака представляет собой «географическое расширение иранских подрывных киберопераций». 17 июля правительство Албании временно закрыло доступ к государственным онлайн-сервисам и другим правительственным веб-сайтам из-за масштабной кибератаки.
Атака была проведена с использованием нового семейства программ-вымогателей «ROADSWEEP», которое включало записку о выкупе с текстом: «Почему наши налоги должны быть потрачены на благо террористов DURRES?»
Группировка «HomeLand Justice» взяла на себя ответственность за кибератаку и заявила, что во время атаки использовала вредоносное ПО для очистки данных. По словам Mandiant, албанский пользователь 19 июля добавил образец программы «ZeroClear» в общедоступный репозиторий вредоносных программ.
Эксплоит ZeroClear
предназначен для очистки главной загрузочной записи (Master Boot Record, MBR) и разделов диска на компьютерах под управлением Windows. Считается, что это совместные усилия различных иранских правительственных группировок, в том числе OilRig (APT34, ITG13, Helix Kitten).
Также в атаках на Албанию был задействован ранее неизвестный бэкдор «CHIMNEYSWEEP», способный делать снимки экрана, просматривать и собирать файлы, создавать обратную оболочку и поддерживать функции кейлоггинга.
Помимо многочисленных перекрытий кода с ROADSWEEP имплантат доставляется в систему через самораспаковывающийся архив вместе с фиктивными документами Microsoft Word, которые содержат изображения Масуда Раджави, бывшего лидера Организации моджахедов иранского народа (ОМИН).
Связь хакеров с Ираном также обоснована тем, что атаки были совершены менее чем за неделю до Всемирного саммита свободного Ирана 23-24 июля возле портового города Дуррес в Албании, в котором участвовали организации, выступающие против иранского правительства, в частности, члены ОМИН.

SECURITYLAB.RU
рейтинг: 
  • Не нравится
  • +298
  • Нравится
ПОДЕЛИТЬСЯ:

ОСТАВИТЬ КОММЕНТАРИЙ
иконка
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Новости