FlightNight: один шпионский PDF ставит под удар госсектор и энергетику Индии

Исследователи из нидерландской компании EclecticIQ раскрыли новую кибершпионскую кампанию под названием Operation FlightNight, нацеленную на государственный сектор и энергетическую отрасль Индии. Злоумышленники использовали модифицированную версию открытого инфостилера HackBrowserData, способного похищать учетные данные браузеров, куки и историю посещений.

По данным экспертов, опубликованным в среду, в результате атак было украдено 8,81 ГБ конфиденциальных данных. Эксперты предупредили, что утечка может существенно облегчить дальнейшие взломы инфраструктуры индийского правительства.

Вредоносное ПО распространялось через фишинговый PDF-документ, замаскированный под приглашение от индийских ВВС. Предполагается, что исходный файл, был похищен в результате одной из предыдущих успешных атак на ВВС, а затем модифицирован злоумышленниками и использован повторно.

Сам документ выглядел безобидно, однако содержал вредоносный ярлык - LNK-файл, ведущий к запуску инфостилера. После активации вредонос незамедлительно приступал к массовой экcфильтрации ценных сведений с зараженного устройства на заранее подготовленные хакерами каналы в мессенджере Slack.

Среди похищенных данных оказались внутренние документы, личные переписки сотрудников и кэшированная информация веб-браузеров. Чтобы оптимизировать атаку, программа целенаправленно искала файлы с определенными расширениями. Это были, например, документы Microsoft Office, PDF и базы данных SQL.

В число атакованных индийских госучреждений вошли агентства, контролирующие электронные коммуникации, IT-инфраструктуру и сферу нацбезопасности. У энергетических компаний злоумышленники похитили финансовые отчеты, личные данные сотрудников и документацию по буровым работам.

Хотя пока что ни одна из известных групп не взяла на себя ответственность за атаки, эксперты обнаружили сходство используемого вредоноса и метаданных с январской кампанией по распространению инфостилера GoStealer, также нацеленной на индийских военных. В том случае хакеры похитили данные с помощью вируса на базе открытого ПО с GitHub и экcфильтрировали их через Slack.

По мнению исследователей EclecticIQ, за обеими операциями стоит одна и та же группировка, активно использующая открытые инструменты для кибершпионажа против индийских структур.