Массовый взлом украинских журналистов

 


 

Украинские СМИ начал поражать промышленный вирус Win32/Potao еще во время "Революции Достоинства”. Команда ProtectMaster активно взаимодействовала с журналистами, которые уже пострадали от этого вируса, так и с теми, кто был в опасности. 

Нам удалось получить исходный код этого вируса, проанализировав его, можно смело сказать, что это вирус, сложность которого сравнима с известными  вирусами BlackEnergy и Stuxnet, которые участвовали в ряде атак на атомные и энергостанции. Win32/Potao предназначен для хищения данных и кибершпионажа.

Вирус Pоtao применялся в масштабных кибератаках с конкретными целями. Вирус доставлялось жертве с личным обращением. Этот сценарий использовался для украинских журналистов в феврале 2015 года, когда атакующие зарегистрировали домен вымышленной службы доставки MNTExpress с дизайном сайта Pony Express.

Как же происходила атака? Создатель вируса присылал смс-сообщение от несуществующего сервиса доставки о том, что якобы пришла посылка и нужно зайти на сайт и ввести код, чтобы узнать детали о посылке. После ввода пользователю предлагалось скачать с сайт документ с деталями о посылке. Как только документ открывался, вся информация с компьютера жертвы попадала к злоумышленнику, т.к. там был так называемые дроппер, который его заражал. 

Своевременно среагировав и разобравшись в сути атаки и самого вируса, удалось предотвратить огромной утечки данных от украинских журналистов.



Поделиться или сохранить: