Группировка DragonFly взломала маршрутизатор Cisco в сети вьетнамского производителя нефтедобывающего оборудования.
Стали известны подробности атак хакерской группировки DragonFly (предположительно связанной с российским правительством) на британские энергетические компании в марте 2017 года. По словам исследователей кибербезопасности из компании Cylance, группировке удалось скомпрометировать маршрутизатор Cisco и с его помощью проникнуть в сети компаний.
Хакерская группировка DragonFly 2.0, также фигурирующая под названиями Energetic Bear и Koala, стала известной после атак на энергетический сектор стран Европы и Северной Америки. Осенью 2017 года Министерство внутренней безопасности США и Федеральное бюро расследований обвинили группировку в кибератаках на ряд ядерных, энергетических, авиационных, промышленных предприятий, а также системы водоснабжения.
Как выяснили исследователи, в мартовских атаках группировка взломала главный маршрутизатор Cisco в сети крупнейшего вьетнамского производителя нефтедобывающего оборудования для хищения учетных данных пользователей, которые затем использовались в фишинговых письмах, адресованных компаниям энергетического сектора Великобритании.
В настоящее время неясно, как именно был взломан маршрутизатор, и каким образом злоумышленникам удалось выйти на британских энергетиков через вьетнамскую компанию. Неизвестно, был ли производитель нефтедобывающего оборудования поставщиком для объектов из Великобритании. В ходе исследования специалистам не удалось обнаружить прямой связи между компаниями.
«Мы обнаружили документ-приманку, встроенный в один из хэшей вредоносного ПО, используемого группировкой. На данный момент мы выяснили, что документы предназначались людям, задействованным в энергетическом секторе Великобритании», - отметили специалисты.
При открытии вредоносного документа жертвы подключались к скомпрометированному маршрутизатору, который автоматически аутентифицировал их на SMB-сервере злоумышленников. Таким образом маршрутизатор собирал все введенные учетные данные.
В настоящее время исследователи ведут дальнейшее расследование деятельности группировки.
Напомним, ранее правительственные ведомства США официально обвинили «русских хакеров» в атаке на критическую инфраструктуру страны. Согласно опубликованному Министерством внутренней безопасности США и Федеральным бюро расследований отчету, киберпреступники атакуют американские электростанции и другие объекты критической инфраструктуры по меньшей мере с марта 2016 года.
Спойлер: мы раскрываем их любимые трюки