Как и любой кризис, текущая пандемия коронавируса привлекла внимание киберпреступников, которые используют ее для распространения своих вредоносных программ в сетях коммерческих и государственных организаций. По данным ведущих антивирусных компаний, таких как TrendMicro, Лаборатория Касперского и ESET, за последние месяцы число фишинговых писем на тему борьбы с COVID19 увеличилось в десятки раз. В интернете появилось более 2,5 тысяч подозрительных ресурсов, где фигурируют слова covid, coronavirus и тому подобные. Они содержат ссылки на сайты-ловушки, а также вредоносные приманки, и зачастую нацелены на кражу персональных данных пользователей.
Особенностью этой хакерской кампании является то, что жертвами злоумышленников все чаще становятся государственные учреждения, больницы и медицинские научно-исследовательские центры по всему миру. Причем для проведения таких атак хакерам не требуется высокой квалификации или значительных денежных затрат. По сути, кибератаку может совершить любой человек, обладающий определенными знаниями и навыками.
Например, для рассылок киберпреступники используют взломанные сервера, доступ к которым можно получить бесплатно через форумы в интернете или за символическую плату. При этом применяются сервисы анонимизации провайдеров из Китая, Румынии, России, Аргентины и других стран для сокрытия своих реальных IP-адресов. Для сбора данных из социальных сетей и микроблогов активно используются общедоступные простые скрипты и программы (так называемые «скрипт-кидди инструменты» – примитивный хакерский арсенал, освоить который сможет даже ребенок). Кроме того, не стоит забывать, что в распоряжении хакеров также находятся инструменты и эксплоиты, ранее разработанные в АНБ и в результате «утечки» оказавшиеся в открытом доступе.
Злоумышленники действуют с территории любых государств, целенаправленно оставляя ложные цифровые следы для затруднения расследования компьютерных инцидентов. Это называется false flag: понятие заимствовано из жаргона спецслужб и означает операцию «под чужим флагом». К таким следам, как правило, относится IP-адрес выходного сервера, с которого проводилась атака, использование фишинговых писем с характерными языковыми ошибками, а также введение привлекающих внимание строковых констант в программном коде (например, слова «partizan», «razvedchik», «fsb» и т.п.) и проч.
Изучая жертву, интернет-преступники сканируют сети организаций с помощью утилиты nmap, находящейся в свободном доступе. Также они активно используют приложение DirBuster для брутфорса имен директорий и файлов веб-ресурсов в поисках скрытых каталогов и файлов. Все это, как уже отмечалось выше, не требует высокого технического порога вхождения.
Например, нашумевший шифровальщик-вымогатель CoViper, атаковавший на фоне пандемии коронавируса медицинские учреждения в Чехии, уничтожает загрузочный сектор жесткого диска компьютера. При этом реализующий данную атаку программный код, как отмечают эксперты (Цифровая эпидемия: CoronaVirus vs CoViper), есть во множестве репозиториев GitHub. В серии инцидентов с чешскими больницами традиционно обвинены «русские хакеры», при этом никаких объективных свидетельств в пользу этих обвинений никем приведено не было, не говоря уже о серьезном анализе TTPs (Tactics, Techniques, and Procedures) – основополагающем методе расследования в области кибер-безопасности.
Аналогичным путем пошел и Британский национальный центр кибернетической безопасности (NCSC), который в начале мая объявил о том, что ряд научно-исследовательских учреждений Соединенного Королевства, занимающихся поиском вакцины против коронавируса, атаковали хакеры из России, Китая и Ирана с целью кражи информации о разработках. Опять же – никаких доказательств. Очевидно, что рядовые, по сути, киберинциденты в настоящее время приобретают политическую окраску и носят все черты провокации. К сожалению, подобная практика бросает тень на принципы объективного расследования происшествий в киберпространстве, но является обычной на Западе и на постсоветском пространстве, где во всех проблемах традиционно видится «рука Кремля».
В заключение хочется отметить, что хакеры всегда стремятся максимально повысить эффективность своих акций. Один из способов для этого – использовать актуальную повестку дня. В условиях пандемии COVID19 и сопутствующего ей информационного потока коронавирусная тематика – это беспроигрышный вариант.
Мошенническими признали три четверти сайтов о коронавирусе : Технологии : Live24.ru
Хакеры всегда стремятся максимально повысить эффективность своих акций.
live24.ru