Sednit

  • Някои от сървърите, обслужващи LoJax, все още са онлайн

    Поне два от сървърите, с които комуникира руткитът LoJax, все още са онлайн. Това показват резултатите от проучване на Netscout. Те подсказват, че малуерът все още е активен и би могъл да се използва при бъдещи атаки.

    LoJax получи значително отразяване в медиите през септември 2018 г. Тогава компанията за информационна сигурност ESET публикува доказателства, че руткитът е използван в организирана атака срещу държавни институции в Източна Европа.

    От Netscout отбелязват, че месеци по-късно два от командните сървъри, с които LoJax комуникира, все още са онлайн. Те са били използвани и по време на атаката, за която съобщи ESET през септември.

    „Въпреки цялото медийно внимание към LoJax, неговите собственици Fancy Bear все още не са свалили командните му сървъри. Тези сървъри имат дълъг живот и организациите трябва да предприемат защитни мерки срещу тях“, коментират от Netscout.

    Fancy Bear, позната още като Sednit или APT28, се счита за свързана с руското правителство хакерска група и автор на руткита.

    LoJax е първият известен случай на руткит, използван в организирана хакерска атака. Той атакува UEFI (наследник на BIOS) на съвременните компютри. Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност.

    LoJax се отличава с това, че оцелява след превантивни мерки като преинсталация на операционната система или смяна на твърдия диск. Името на руткита идва от LoJack – софтуер против кражба на лаптопи, заради който производителите на компютри инсталират в продуктите си определени файлове, които комуникират с UEFI. Именно от тези преконфигурирани файлове се възползва LoJax, за да функционира.

  • Хакерите от Sednit използват Brexit, за да атакуват държавни организации

    Последен ъпдейт на 3 декември 2018 в 09:05 ч.

    Хакерската група Sednit използва събитията около Brexit, за да разпространява малуер. Сред основните цели на групата са държавни институции в Централна Азия и Централна и Източна Европа.

    В момента членовете на Sednit водят активна спам кампания, показва анализ на компанията за информационна сигурност Accenture Security. Имейлите съдържат зловреден документ Brexit 15.11.2018.docx, чието име заблуждава, че има връзка с преговорите между Великобритания и Европейския съюз. „Темата за Brexit подсказва кои са целите на групата, която се фокусира основно върху страни-членки на NATO, страни в Централна Азия и съседни на Русия страни“, коментират от Accenture Security.

    В прикачения документ има макро скрипт, който сваля на компютъра истинския малуер – в случая Zekapab, известен още и като Zebrocy. Зловредният код събира информация от заразеното устройство като средство за шпионаж. Според компанията за киберсигурност ESET малуерът се използва активно поне от няколко години и постоянно еволюира.

    За Sednit се предполага, че е свързана с руското разузнаване. Групата се счита за автор на някои значими атаки, включително и такива срещу държавни институции. Според ESET първата хакерска атака с UEFI руткит е дело именно на Sednit.

    За атаката, станала известна като LoJax, беше съобщено в края на септември. Tя се отличава с това, че атакува UEFI на устройството и може да устои на смяна на операционната система и дори смяна на твърдия диск на заразения компютър. Според ESET основна цел на атаката с UEFI руткит са държавни институции от Централна и Източна Европа.

    Актуалната спам кампания не се различава съществено от други подобни, извършвани от групата. Тя обаче показва, че членовете на Sednit продължават да са активни. „Предвид предполагаемата връзка с Русия, очевидно групата разполага с достатъчно ресурси, за да атакува организации. Ето защо са необходими инвестиции в защитни мерки“, коментират от Accenture Security.
    [box type=“success“ align=“alignleft“ class=““ width=““]

    Съвети за администратори

    Блокирайте IP адреса на използвания за атаката команден сървър: 109.248.148.42;

    Инструктирайте служителите във фирмата да не разрешават отварянето на скриптове от документи за Microsoft Office;
    [/box]

Back to top button