09/08/22
ИБ-компания Mandiant заявила , что за серией разрушительных кибератак на правительственные службы Албании в середине июля 2022 года стоит злоумышленник, работающий в интересах Ирана. Эта атака представляет собой «географическое расширение иранских подрывных киберопераций».
17 июля правительство Албании временно закрыло доступ к государственным онлайн-сервисам и другим правительственным веб-сайтам из-за масштабной кибератаки, напоминает Securitylab.
Атака была проведена с использованием нового семейства программ-вымогателей «ROADSWEEP», которое включало записку о выкупе с текстом: «Почему наши налоги должны быть потрачены на благо террористов DURRES?»
Группировка «HomeLand Justice» взяла на себя ответственность за кибератаку и заявила, что во время атаки использовала вредоносное ПО для очистки данных. По словам Mandiant, албанский пользователь 19 июля добавил образец программы «ZeroClear» в общедоступный репозиторий вредоносных программ.
Эксплоит ZeroClear предназначен для очистки главной загрузочной записи (Master Boot Record, MBR) и разделов диска на компьютерах под управлением Windows. Считается, что это совместные усилия различных иранских правительственных группировок, в том числе OilRig (APT34, ITG13, Helix Kitten).
Также в атаках на Албанию был задействован ранее неизвестный бэкдор «CHIMNEYSWEEP», способный делать снимки экрана, просматривать и собирать файлы, создавать обратную оболочку и поддерживать функции кейлоггинга.
Помимо многочисленных перекрытий кода с ROADSWEEP имплантат доставляется в систему через самораспаковывающийся архив вместе с фиктивными документами Microsoft Word, которые содержат изображения Масуда Раджави, бывшего лидера Организации моджахедов иранского народа (ОМИН).
Связь хакеров с Ираном также обоснована тем, что атаки были совершены менее чем за неделю до Всемирного саммита свободного Ирана 23-24 июля возле портового города Дуррес в Албании, в котором участвовали организации, выступающие против иранского правительства, в частности, члены ОМИН.
