В марте сего года экспертами «Лаборатории Касперского» была обнаружена нестандартная таргетированная атака, чьей целью явились… киберпреступники – речь идет об азиатской группировке Naikon. Расследование всей цепочки событий не простопривело к выявлению группы хакеров, которая стояла за атакой, но и дало возможность установить, что основными её целями были государственные службы, а кроме того, дипломатические миссии, находящиеся в Азии и США.

Рассылки электронных писем с разного рода вредоносными вложениями – это стандартная тактика заражения предполагаемых жертв. Конечно, большинство адресатов, следуя правилам IT-безопасности, просто игнорирует письма такого рода. Однако, небольшая часть пользователей все-таки открывает подозрительное вложение, что при отсутствии хорошего защитного решения на ПК приводит к инфицированию системы. Но в случае с вредонесущей рассылкой от группировки Naikon получилось по-другому: одна из предполагаемых жертв, не открывая зловредное вложение, стала вести переписку с киберзлодеями, что уже само по себе стало весьма нетипичным поведением. Дождавшись ответа от Naikon и поняв, что чуть не стал жертвой таргетированной атаки, адресат незамедлительно отправил злоумышленникам еще одно письмо, которое содержало вредоносное вложение. Столь нестандартный сценарий не мог не привлечь внимание сотрудников «Лаборатории Касперского», проведших анализ и установивших, что отправленный в ответ на атаку Naikon зловред ранее не был замечен в каких-либо атаках и, вероятнее всего, его автор входит в новую кибершпионскую группу, получившую имя Hellsing.

Углубленное исследование вредонесущего образца только подтвердило данную догадку и оказало помощь в выявлении реальных целей стоящих за Hellsing киберлоумышленников. Ими оказались многие десятки госслужб, а также дипломатических учреждений, которые расположены в основном в государствах Азии, а также частично в США. При условии успешного заражения вредонос тайно открывал канал управления компьютерной системой, давая возможность передавать интересующие мошенников файлы, закачивая при необходимости новые.

Как прокомментировал ситуацию Костин Райю, руководящий центром глобальных исследований и анализа угроз при «Лаборатории Касперского», ранее сотрудникам компании приходилось наблюдать столкновения кибергруппировок, однако они были непреднамеренными – злодеи, воруя базы электронных почтовых адресов у разнообразных жертв, могли чисто случайно заполучать принадлежащие друг другу контакты и отправлять письма, снабженные вредоносными вложениями, в формате массовой рассылки. В этот же раз атака, обрушенная на «коллег» из Hellsing, носила ярко выраженный преднамеренный характер. Это совершенно неудивительно, ведь мир киберпреступников непрестанно пополняется все новыми игроками, в результате членам преступного «сообщества» становится тесно в киберпространстве. Можно предположить, что в ближайшем будущем подобные междоусобные войны превратятся в привычное явление.

Источник: www.kaspersky.ru