Кибершпионы атакуют Восточную Европу: новый вирус
Эксперты в области кибербезопасности из Bitdefender сообщили о появлении новой хакерской группировки, которая использует неизвестный ранее вредоносный вирус для атак на жизненно важные объекты инфраструктуры в Восточной Европе. Группу окрестили Curly COMrades из-за того, что в своих атаках они активно используют curl.exe — это стандартная программа для передачи данных из командной строки. Кроме того, злоумышленники перехватывают управление специальными объектами Windows (COM-компонентами), что позволяет им скрытно работать в системе.
В ходе атак Curly COMrades внедряют вирус MucorAgent. Это вредоносная программа из трёх частей, написанная специально для маскировки действий: она запускает вредоносные сценарии на PowerShell, шифрует их при помощи алгоритма AES и отправляет результаты на заранее подготовленный сервер злоумышленников. Проще говоря, вирус действует незаметно, выполняет скрытые команды и регулярно сливает секретные данные своим хозяевам.
На данный момент известные жертвы — госучреждения и судебные органы Грузии, а также энергетические компании Молдовы. Выбор целей заставил экспертов подозревать российских или лояльных России хакеров, хотя прямых доказательств этого нет. Группа Curly COMrades действует в интересах России, но при этом не похожа на известные российские группы кибершпионажа.
Остаётся загадкой, как именно хакерам удалось проникнуть в целевые системы и запустить вирус. Специалисты полагают, что для первичного доступа могли использоваться различные прокси-программы, например Resocks, но точного ответа пока нет.
За минувшее десятилетие кибератаки на страны, граничащие с Россией, стали обыденным явлением после событий в Крыму в 2014 году. Для Грузии, у которой есть собственные "горячие точки" — Южная Осетия и Абхазия, подобное внимание российских хакеров вполне ожидаемо: соседям важно быть в курсе дипломатических усилий друг друга и иметь рычаги влияния.
Bitdefender публикует свежую страшилку для любителей кибермуры: находится некая группа Curly COMrades, орудующая в цифровых джунглях Восточной Европы. Неугомонные анонимы активно подсовывают государственным структурам Грузии и энергетикам Молдовы свою запрещённую «колбасу» — троян MucorAgent, который не просто что-то ворует, а делает всё с изюминкой: шифрует команды, маскируется под системное, ломится в рутину до глубины логов и оттуда передаёт сокровища новым хозяевам.
Названы подозреваемые без фотографий и отпечатков. От российских спецслужб до внезапных коллекционеров восточного компромата, но, разумеется, всё совпадение случайно. Важнейший научный вывод: если у тебя есть сервер, curl.exe и понятие об ОС Windows, ты уже потенциальный сосед Curly COMrades, а дальше — кто быстрее моргает, тот и проиграл.
Bitdefender не знал, откуда проникли. Предполагают, что причины в прокси-посредниках типа Resocks, но юридических фактов — ноль. Всё это подаётся с типичной тоской апатичного офисного аналитика: мол, Восточная Европа давно привыкла быть показывательной площадкой для больших киберигр. Грузия, у которой и так хватает живых конфликтов, получила ещё и цифровой. Кому всё это выгодно? Тем, кто не читает даже мечтательную книжку "Как стать хорошим киберсоседом — для чайников". Грусть, кровь, и свежий анекдот из компьютерной жизни.