ESET и NOD32 поддержали «ДНР» и «ЛНР» в борьбе с украинскими хакерами

Словацкая антивирусная компания ESET, выпускающая антивирус NOD32, который установлен почти на 70% компьютерах госструктур Украины, раскрыла методы слежения украинских хакеров за представителями оккупационной власти так называемых «ДНР» и «ЛНР».

Об этом сообщает Капитал со ссылкой на пресс-релиз компании ESET.

Компания в релизе отмечает, что отдельные лица в Украине проводят операцию Groundbait («Прикормка»), ее цель — в первую очередь киберслежка за представителями самопровозглашенных Донецкой и Луганской народных республик.

«В качестве инструмента украинские хакеры используют вредоносную программу, которую продукты ESET классифицируют как Win32/Prikormka», — пишет ESET в своем исследовании.

Как отмечается, впервые специалисты ESET ее обнаружили в третьем квартале 2015 года. Дальнейшие исследования показали, что данная угроза начала распространяться по меньшей мере с 2008 года.

Для распространения программы в ходе операции Groundbait в большинстве случаев использовались фишинговые электронные письма.

«В ходе исследования мы обнаружили большое количество образцов, каждый со своим ID кампании и привлекательным именем файла, чтобы вызвать интерес у жертвы», — раскрывает методы украинских хакеров исследователь угроз ESET Антон Черепанов.

Злоумышленники, как хакеров называет компания ESET, применяют приемы социальной инженерии для убеждения жертвы открыть вредоносное письмо. В частности, используют провокационные и привлекательные названия писем электронной почты.

Кроме того, как отмечается, жители Донецкой и Луганской областей были не единственными мишенями операции.

В ESET утверждают, что под удар попали украинские государственные чиновники, политики, журналисты, представители «Правого сектора», представители религиозных организаций.

В ходе исследования операции Groundbait специалисты ESET выявили ряд доменов командных серверов и IP-адресов. Большинство из них расположены в Украине и размещены украинскими хостинг-провайдерами.

Один из командных серверов gils.ho [.] Ua используется в операции с 2008 года, согласно информации, полученной от хостинг-компании.

Для прикрытия своей незаконной деятельности, хакеры создали поддельный сайт, посвященный столице Украины — Киеву.

В ходе исследования специалисты ESET получили доступ к командной операции сервера Groundbait, который из-за неправильных настроек разрешил создание списков папки общего доступа.

«В определенный момент корневая директория содержала 33 подкаталога с отдельной папкой для каждой жертвы. Это означает, что сервер был использован для управления 33 компьютерами, инфицированными угрозой Prikormka», — говорится в сообщении.

В качестве заключения специалисты ESET отмечают, что вредоносная программа Prikormka является первым обнаруженным украинским вредоносным программным обеспечением, которое используется для целенаправленных атак.