Эксперты раскрыли подробности о кибератаках на электростанции в США

Исследователи пролили свет на реальную опасность кибератак.

На прошлой неделе в СМИ появилась информация о расследовании кибератак на энергетический и ядерный секторы США, в осуществлении которых подозревается Россия. Ажиотаж возник после того, как Министерство внутренней безопасности США и ФБР разослали энергетическим компаниям предупреждения об активизировавшейся хакерской активности.

Главным подозреваемым в атаках является группировка Energetic Bear, также известная под названиями Dragonfly и Crouching Yeti. Группировка активна с 2010 года и осуществляет атаки на предприятия электроэнергетического сектора по крайней мере с 2014 года. Многие решили, что атаки, о которых предупредили американские власти, аналогичны атакам на электроэнергетические компании Украины, ставшим причиной обесточивания целых районов городов в 2015-2016 годах. В ходе атак использовалось специальное вредоносное ПО BlackEnergy (2015 год) и Industroyer (2016 год).

О том, какую опасность на самом деле представляют атаки на американские компании, сообщили эксперты Cisco Talos в пятницу, 7 июля. По словам специалистов, речь идет о фишинговых рассылках, с помощью которых хакеры пытались похитить учетные данные для авторизации в локальных сетях.

С мая 2017 года Energetic Bear стала рассылать сотрудникам электроэнергетических компаний вредоносные электронные письма с файлами DOCX, замаскированными под резюме от соискателей работы. Как показал первоначальный анализ, вложенные файлы были безвредными, так как не содержали ни макросов, ни эксплоитов. Однако по чистой случайности исследователи вдруг обнаружили нечто подозрительное. Эксперты обратили внимание на интересное сообщение о статусе при загрузке Microsoft Office. Благодаря ему исследователи увидели, что DOCX-файл незаметно загружал с удаленного сервера шаблон Word.

Как показало дальнейшее исследование, DOCX-файл пытался установить соединение с удаленным SMB-сервером. С помощью подключения локального хоста к удаленному SMB-серверу злоумышленники пытались обманным образом выманить у компьютера учетные данные для локальной сети. Этот фокус отнюдь не является новым и уже давно используется хакерами.

По словам экспертов, на момент проведения исследования большая часть задействованных в атаках серверов и инфраструктуры уже были отключены, а значит, хакеры постарались как можно скорее замести свои следы.