Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Эксперты раскрыли подробности о кибератаках на электростанции в США

Эксперты раскрыли подробности о кибератаках на электростанции в США


11.07.2017

Эксперты раскрыли подробности о кибератаках на электростанции в США

На прошлой неделе в СМИ появилась информация о расследовании кибератак на энергетический и ядерный секторы США, в осуществлении которых подозревается Россия. Ажиотаж возник после того, как Министерство внутренней безопасности США и ФБР разослали энергетическим компаниям предупреждения об активизировавшейся хакерской активности.

 Главным подозреваемым в атаках является группировка Energetic Bear, также известная под названиями Dragonfly и Crouching Yeti. Группировка активна с 2010 года и осуществляет атаки на предприятия электроэнергетического сектора по крайней мере с 2014 года. Многие решили, что атаки, о которых предупредили американские власти, аналогичны атакам на электроэнергетические компании Украины, ставшим причиной обесточивания целых районов городов в 2015-2016 годах. В ходе атак использовалось специальное вредоносное ПО BlackEnergy (2015 год) и Industroyer (2016 год).

 О том, какую опасность на самом деле представляют атаки на американские компании, сообщили эксперты Cisco Talos в пятницу, 7 июля. По словам специалистов, речь идет о фишинговых рассылках, с помощью которых хакеры пытались похитить учетные данные для авторизации в локальных сетях.

 С мая 2017 года Energetic Bear стала рассылать сотрудникам электроэнергетических компаний вредоносные электронные письма с файлами DOCX, замаскированными под резюме от соискателей работы. Как показал первоначальный анализ, вложенные файлы были безвредными, так как не содержали ни макросов, ни эксплоитов. Однако по чистой случайности исследователи вдруг обнаружили нечто подозрительное. Эксперты обратили внимание на интересное сообщение о статусе при загрузке Microsoft Office. Благодаря ему исследователи увидели, что DOCX-файл незаметно загружал с удаленного сервера шаблон Word.

 Как показало дальнейшее исследование, DOCX-файл пытался установить соединение с удаленным SMB-сервером. С помощью подключения локального хоста к удаленному SMB-серверу злоумышленники пытались обманным образом выманить у компьютера учетные данные для локальной сети. Этот фокус отнюдь не является новым и уже давно используется хакерами.

 По словам экспертов, на момент проведения исследования большая часть задействованных в атаках серверов и инфраструктуры уже были отключены, а значит, хакеры постарались как можно скорее замести свои следы.

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.