В марте специалисты «Лаборатории Касперского» обнаружили необычную таргетированную атаку, одной из жертв которой стали киберпреступники из азиатской группы Naikon. Расследование цепочки событий привело к обнаружению организаторов, а также позволило установить, что ее главными целями являются госслужбы и дипломатические миссии в Азии и США.
Разослав вредоносную рассылку, Naikon попала на жертву, которая, не открывая вложение, вступила в переписку с преступниками. Получив ответ от Naikon и убедившись, что это была таргетированная атака, адресат вскоре отправил злоумышленникам письмо с вредоносным вложением. Этот нестандартный сценарий привлек внимание экспертов «Лаборатории Касперского», которые провели анализ и установили, что отправленный зловред не был замечен ранее в атаках и, скорее всего, принадлежит авторству новой кибершпионской группы, которая получила имя Hellsing. Тщательное исследование вредоносного ПО подтвердило догадку и помогло выявить реальные цели стоящих за Hellsing злоумышленников. Ими оказались десятки госслужб и дипломатических организаций, расположенных в основном в странах Азии и частично в США. В случае успешного заражения вредоносное вложение тайно открывало канал управления системой, позволяя передавать интересующие злоумышленников файлы, а также при необходимости закачивать новые.
«Ранее мы наблюдали столкновения кибергруппировок, но они были исключительно непреднамеренными — злоумышленники, воруя базы почтовых адресов у различных жертв, могли случайно заполучать контакты друг друга и отправлять письма с вредоносными вложениями в рамках массовой рассылки. Но в случае с Hellsing атака на «коллег» была преднамеренной. Это неудивительно, мир киберпреступников постоянно пополняется новыми игроками, которым становится тесновато в киберпространстве. Похоже, в ближайшем будущем междоусобные войны станут привычным явлением», — отметил Костин Райю, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского».