Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

За кибератакой на правительство Албании стоит Иран

09/08/22

a0b256

ИБ-компания Mandiant заявила , что за серией разрушительных кибератак на правительственные службы Албании в середине июля 2022 года стоит злоумышленник, работающий в интересах Ирана. Эта атака представляет собой «географическое расширение иранских подрывных киберопераций».

17 июля правительство Албании временно закрыло доступ к государственным онлайн-сервисам и другим правительственным веб-сайтам из-за масштабной кибератаки, напоминает Securitylab.

Атака была проведена с использованием нового семейства программ-вымогателей «ROADSWEEP», которое включало записку о выкупе с текстом: «Почему наши налоги должны быть потрачены на благо террористов DURRES?»

Группировка «HomeLand Justice» взяла на себя ответственность за кибератаку и заявила, что во время атаки использовала вредоносное ПО для очистки данных. По словам Mandiant, албанский пользователь 19 июля добавил образец программы «ZeroClear» в общедоступный репозиторий вредоносных программ.

Эксплоит ZeroClear предназначен для очистки главной загрузочной записи (Master Boot Record, MBR) и разделов диска на компьютерах под управлением Windows. Считается, что это совместные усилия различных иранских правительственных группировок, в том числе OilRig (APT34, ITG13, Helix Kitten).

Также в атаках на Албанию был задействован ранее неизвестный бэкдор «CHIMNEYSWEEP», способный делать снимки экрана, просматривать и собирать файлы, создавать обратную оболочку и поддерживать функции кейлоггинга.

Помимо многочисленных перекрытий кода с ROADSWEEP имплантат доставляется в систему через самораспаковывающийся архив вместе с фиктивными документами Microsoft Word, которые содержат изображения Масуда Раджави, бывшего лидера Организации моджахедов иранского народа (ОМИН).

Связь хакеров с Ираном также обоснована тем, что атаки были совершены менее чем за неделю до Всемирного саммита свободного Ирана 23-24 июля возле портового города Дуррес в Албании, в котором участвовали организации, выступающие против иранского правительства, в частности, члены ОМИН.

Темы:ЕвропаПреступленияКиберугрозыMandiant
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...