Эксперты «Лаборатории Касперского» обнаружили серию фишинговых атак, построенных на ПО для удаленного доступа к компьютерам. Преступники охотятся за деньгами на счетах промышленных организаций.

О кампании сообщил Центр «Лаборатории Касперского» по реагированию на угрозы в промышленности (Kaspersky Lab ICS CERT). По информации специалистов, атаки идут уже девять месяцев и поразили около 800 компьютеров в 400 российских производственных, добывающих и металлургических предприятиях.

Преступники тщательно спланировали кампанию, создав индивидуальные фишинговые письма для своих целей в каждой организации. В сообщениях упоминаются коммерческие предложения, приглашения к участию в тендерах — все с учетом деятельности конкретного предприятия и должности адресата. Эксперты полагают, что злоумышленники заранее получили доступ к электронной почте жертв, где и нашли необходимые данные.

Мошенники призывают получателя установить ПО для удаленного администрирования — TeamViewer или Remote Manipulator System / Remote Utilities (RMS). Оба продукта изначально легитимны, однако преступники подменяют одну из используемых библиотек, чтобы внедрить вредоносные функции. В одних случаях программа приложена к письму, в других адресат должен скачать ее по ссылке.

Если жертва следует инструкции злоумышленников, они ищут на компьютере конфиденциальные документы и финансовое ПО, которые можно использовать для дальнейших махинаций. В частности, они могут изменить корпоративные реквизиты, чтобы перехватывать платежи по счетам.

На протяжении всей атаки преступники тщательно скрывают факт заражения и свое присутствие в инфраструктуре жертвы. Они отрабатывают легенду фишингового письма — например, если в тексте речь идет об участии в тендере, преступники прикладывают к нему дистрибутив настоящей программы для поиска конкурсов. Наименования компаний, реквизиты платежных поручений, прочая информация в документах соответствуют реальным, вплоть до VIN-номеров упоминаемых автомобилей.

Если после заражения преступникам нужно решить какие-либо дополнительные задачи, они догружают и устанавливают необходимое ПО. В зависимости от ситуации это может быть шпионская программа, софт для эксплуатации уязвимостей в какой-либо конкретной системе, дополнительные утилиты удаленного администрирования. В некоторых случаях, когда зараженный компьютер не открывает доступ к нужным процессам, взломщики используют утилиту Mimikatz, чтобы продвигаться по корпоративной сети.

Эксперты пришли к выводу, что за кампанией с большой долей вероятности стоят русскоязычные преступники. Фишинговые письма составлены грамотно и со знанием финансовых отношений на отечественном рынке. Кроме того, у злоумышленников нет проблем с российскими корпоративным программами.

«Злоумышленники не ставят целью атаковать компании какой-то конкретной индустрии или сектора экономики. — заключают авторы отчета. — Выбор [жертв из числа промышленных предприятий] может объясняться тем, что… культура кибербезопасности [в таких организациях] ниже, чем в банках или IT-компаниях. Вместе с тем, промышленные компании чаще совершают операции на крупные суммы — что делает их еще более привлекательной целью для злоумышленников».

Ранее «Лаборатория Касперского» совместно с консалтинговым агентством Pierre Audoin Consultants выяснила, что три четверти промышленных предприятий опасаются стать жертвой киберпреступников уже в ближайшем будущем. В качестве самых вероятных сценариев ИБ-руководители назвали целевые атаки, заражение вредоносным ПО и нападение программ-вымогателей.

Категории: Аналитика, Мошенничество, Спам