Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Group-IB рассказала о правительственных хакерах SideWinder из Индии, которые шпионили за компаниями в Азии

16/02/23

Исследователи кибербезопасности из ИБ-компании Group-IB выявили ранее нераскрытые фишинговые кампании, приписываемые группировке SideWinder , которая, как считается, имеет связи с индийскими националистами.

С 2020 года SideWinder совершила серию из 1000 нападений, применяя все более изощренные методы кибератак. В 2022 году "Лаборатория Касперского" рассказала о целях SideWinder – военных и правоохранительных органах Пакистана, Бангладеш и других стран Южной Азии. Считается, что группировка связана с правительством Индии, но ЛК утверждает, что группировка не относится к какой-либо стране, напоминает Securitylab.

Согласно отчёту , атаки были направлены на правительственные, военные и юридические учреждения по всей Азии. Group-IB отслеживала SideWinder, также известную как Hardcore Nationalist (HN2), которая атаковала 61 организацию в Афганистане, Бутане, Мьянме, Непале и Шри-Ланке в 2021 году.

my58qy48jloc8gplkyvd2en24gemxqj7

Основными жертвами были правительственные учреждения – их было выделено 44 шт., в то время как почти половина всех атак была направлена ​​​​на цели в Непале, который имеет сухопутную границу с Индией. Второе место по количеству фишинговых атак (13 шт.) было сосредоточено в Афганистане, который отделен от Индии Пакистаном.

Group-IB добавила, что SideWinder отличается способностью проводить сотни шпионских операций за короткий промежуток времени».

Кроме того, Group-IB наблюдала, как SideWinder использует Telegram для получения и обработки данных из целевых систем. Group-IB также заметила, что SideWinder обновляет свой инструментарий. Один из них – инфостилер на Python под названием «SideWinder.StealerPy».

StealerPy может:

  • извлекать историю браузера Google Chrome;
  • учетные данные, сохраненные в браузере;
  • список папок в каталоге;
  • метаданные и содержимое файлов «docx», «pdf» и «txt».

Некоторые фишинговые кампании группы были нацелены на правительственные учреждения в Юго-Восточной Азии, и содержали поддельные веб-сайты, имитирующие Центральный банк Мьянмы.

Group-IB не удалось определить, была ли какая-либо кампании успешна, но фирма отметила, что в них хакеры выдавали себя за криптовалютные компании. По мнению специалистов, это может быть связано с недавними попытками регулирования крипторынка в Индии.

Group-IB полагает, что SideWinder использовала вредоносные ссылки в электронных письмах для получения удаленного доступа и захвата целевой машины или проведения шпионских операций путем развертывания инфостилера. Подозреваемая группа считается одной из старейших правительственных группировок и действует как минимум с 2012 года.

Group-IB опубликовала результаты расследования только сейчас, потому что, по её словам, одной из главных целей компании является инвентаризация всего арсенала SideWinder, извлечение всей информации из резервных копий и реверс-инжиниринг инструментов для определения точного графика кампании.

Темы:ПреступленияИндияGroup-IBХакерские атаки
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...