Группировку Fancy Bear заподозрили в атаках на ВМС Италии
17.07.2018
Специалисты из команды Z-Lab Cse CybSec зафиксировали новую вредоносную кампанию, направленную на компьютерные сети Военно-морских сил Италии (Marina Militare) и предприятий-подрядчиков. В организации атаки подозревается хакерская группировка APT28 (более известна как Fancy Bear), предположительно связанная с РФ. Поскольку атаки проходят в летний период, исследователи окрестили операцию "Roman Holiday" ("Римские каникулы").
Атака включает несколько этапов, в рамках которых злоумышленники загружают на целевые системы написанный на Delphi дроппер и новую версию бэкдора X-agent, "засветившегося" в ряде предыдущих операций группировки. В ходе анализа эксперты обнаружили вредоносную dll-библиотеку, которая связывалась по HTTPS с C&C-сервером с именем "marina-info.net".
"Dll-файл, подключающийся к -marina-info.net- может быть финальным вредоносным модулем, активирующимся при определенных условиях, например, когда вредоносное ПО инфицирует системы с IP-адресами в определенных диапазонах", - пояснили исследователи. Более подробный технический анализ вредоносной кампании представлен здесь.
Группировка APT28 активна по меньшей мере с 2007 года. Сфера интересов хакеров включает правительства, военные ведомства и организации по всему миру. Fancy Bear неоднократно подозревали в различных кибератаках, в том числе на немецкий парламент, французскую телестанцию TV5Monde и компьютерную сеть Демократической партии США в ходе предвыборной кампании 2016 года. Во второй половине 2017 года группировка переключила внимание с НАТО и Украины на азиатские страны, в том числе Китай, Монголию, Южную Корею и Малайзию.
