6 из 8 IP-адресов, использованных в атаках, принадлежат российской хостинговой компании.
Специалисты компании ThreatConnect обнаружили связь между недавними атаками на системы регистрации избирателей в США и вредоносными кампаниями, осуществленными предположительно связанными с правительством РФ хакерами.
В августе текущего года Федеральное бюро расследований США разослало предупреждение о кибератаках, в ходе которых злоумышленникам удалось получить доступ к базам данных систем регистрации избирателей в двух штатах страны.
В оповещении ФБР указало технические подробности атак, в том числе IP-адреса, фигурировавшие в обоих инцидентах. Согласно результатам анализа, проведенного экспертами ThreatConnect, данные IP-адреса неоднократно связывались с подпольными российскими хакерскими форумами. В частности, некоторые из них принадлежат компании FortUnix Networks, чья инфраструктура эксплуатировалась в атаках на украинские энергокомпании в декабре прошлого года.
По данным специалистов, один из IP-адресов (5.149.249.172 ) в прошлом использовался в фишинговых атаках, направленных на политические партии Турции и Германии, а также парламент Украины. В ходе исследования активности IP-адреса также обнаружился ряд дополнительных факторов, свидетельствующих о его связи с одной из российских группировок, предположительно работающих по заказу правительства РФ.
Исследователям удалось получить доступ к C&C-серверу, использованном в вышеуказанной фишинговой кампании. Они обнаружили в общей сложности 113 писем, написанных на украинском, турецком, немецком и английском языках. Как выяснилось в ходе дальнейшего анализа, один из доменов, используемых для хостинга фишингового контента, был зарегистрирован на электронный адрес, связанный с доменом, ранее фигурировавшим в кампаниях группы APT 28, также известной как Fancy Bear, Pawn Storm, Sednit и Sofacy.
Собираем и анализируем опыт профессионалов ИБ