За кибератакой на правительство Албании стоят четыре иранские группировки » mogilew.by
 

За кибератакой на правительство Албании стоят четыре иранские группировки

Албания Иран Microsoft вайпер вымогательское ПО EUROPIUM
Об этом стало известно благодаря исследованию, проведенному Microsoft.
За кибератакой на правительство Албании стоят четыре иранские группировки

15 июля 2022 года четыре группировки иранских правительственных хакеров
провели разрушительную атаку
на государственные онлайн-сервисы и правительственные веб-сайты Албании, выведя их из строя.
По данным Microsoft, атака состояла из четырех этапов, за каждый из которых отвечали разные группировки:
DEV-0861 – предоставила первичный доступ к системам и данным. Эксперты предполагают, что эта группировка может быть связана с EUROPIUM – бандой хакеров, работающей на Министерство информации и национальной безопасности Ирана (MOIS). В отчете Microsoft говорится, что злоумышленники могли получить первоначальный доступ к албанским государственным системам, используя CVE-2019-0604 – уязвимость в SharePoint, исправленную в марте 2019 года. Киберпреступники выполнили вредоносный код, внедряющий веб-оболочки, которые затем используются для загрузки файлов, проведения разведки, выполнения произвольных команд и отключения антивирусных программ. По данным экспертов, хакеры получили первоначальный доступ к системам жертвы в мае 2021 года, а в период с октября 2021 года по январь 2022 года крали электронные письма чиновников из взломанной сети.
DEV-0166 – похитила нужные данные;
DEV-0133 – исследовала IT-инфраструктуру жертвы;
DEV-0842 – развернула вымогательское ПО и Класс вредоносных программ, которые уничтожают (стирают) жесткий диск зараженного компьютера, злонамеренно удаляя данные и программы."
data-html="true" data-original-title="Вайпер"
>вайпер
. На этом этапе все прошло так же, как и в ходе других кибератак, приписываемых иранским группировкам: сначала было развернуто вымогательское ПО, а потом вайпер, использующий лицензионный ключ и драйвер EldoS RawDisk, который был ранее замечен в другой кибератаке 2019 года. Вайпер, использованный DEV-0842 был подписан недействительным цифровым сертификатом от Kuwait Telecommunications Company KSC.
Проанализировав сообщения, время и выбор целей, эксперты сделали вывод, что все группировки действовали под эгидой иранского правительства, как бы оно не
открещивалось
от произошедшего. Microsoft отметила, что такая атака может быть местью за кибератаку, организованную Израилем и Организацией моджахедов иранского народа – группировкой, стремящейся свергнуть иранское правительство.

SECURITYLAB.RU
рейтинг: 
  • Не нравится
  • +478
  • Нравится
ПОДЕЛИТЬСЯ:

ОСТАВИТЬ КОММЕНТАРИЙ
иконка
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Новости