Компания «Лаборатория Касперского» сообщила о возобновлении активности кампании кибершпионажа, известной как Wild Neutron, а также как Jripbot и Morpho. Она впервые была обнаружена в 2013 году, тогда от нее пострадало несколько известных компаний, включая Apple, Facebook, Twitter и Microsoft. Громкая огласка инцидента заставила организаторов кибершпионской операции прекратить свою деятельность. Но в 2015 году они вновь активизировались.
Wild Neutron гонится за конфиденциальной информацией различных организаций. «Лаборатория Касперского» выяснила, что ее жертвами стали пользователи в 11 странах — России, Франции, Швейцарии, Германии, Австрии, Словении, Палестине, ОАЭ, Казахстане, Алжире и США. Среди пострадавших — юридические, инвестиционные компании, организации, работающие с криптовалютой Bitcoin, группы компаний и предприятия, вовлеченные в сделки слияния и поглощения, ИТ-компании, учреждения здравоохранения, риэлтерские компании, а также индивидуальные пользователи.
Вредоносное ПО попадает в системы жертв через уязвимость в Flash Player — заражение осуществляется при помощи программ-эксплойтов, размещенных на скомпрометированных сайтах. Эти эксплойты, в свою очередь, доставляют в инфицированную систему загрузчика вредоносного ПО, который подписан легитимным сертификатом, наличие которго позволяет зловреду избегать детектирования некоторыми антивирусными решениями. Именно поэтому этот сертификат сейчас отзывается.
Организаторам кампании кибершпионажа удалось скрыть адрес своего командно-контрольного сервера, при помощи которого они контролируют все зараженные системы. Кроме того, сервер восстанавливает свою работу даже после отключения.
Аналитики предполагают, что за этой кампанией не стоят никакие госструктуры или спецслужбы. Тем не менее использование уязвимостей нулевого дня, наличие кроссплатформенных зловредов и ряда других продвинутых техник позволяют думать, что за атаками стоит мощная группировка, возможно, движимая экономическими интересами.
Происхождение самих атакующих также остается загадкой. В некоторых экземплярах вредоносного кода встречается строка на румынском языке La revedere, что значит «до свидания». Эта команда используется для окончания сессии коммуникации с командно-контрольным сервером. Кроме того, специалисты «Лаборатории Касперского» обнаружили команду и на русском языке — написанное латиницей слово «успешно».
«Wild Neutron — опытная кибергруппировка, использующая разнообразные техники атак. Она активна с 2011 года и каждый раз использует по меньшей мере одну уязвимость нулевого дня, созданное под конкретные задачи вредоносное ПО и инструменты для систем Windows и OS X. Несмотря на то что в прошлом эта группировка атаковала известные на весь мир компании, в целом эти люди предпочитают не связываться с громкими именами и старательно защищают свои вредоносные операции, из-за чего до сих пор не удалось установить их происхождение», — рассказал Костин Райю, руководитель глобального центра исследований и анализа угроз «Лаборатории Касперского».
