Словацкий разработчик антивирусного ПО рассказал, как были взломаны компьютеры “ЛНР” и “ДНР”

Словацкая антивирусная компания ESET, выпускающая антивирус NOD32, который установлен почти на 70% компьютерах госструктур Украины, раскрыла методы слежения украинских хакеров за представителями оккупационной власти так называемых “ДНР” и “ЛНР”. Об этом говорится в пресс-релизе ESET.

Компания в релизе отмечает, что отдельные лица в Украине проводят операцию Groundbait (”Прикормка”), ее цель — в первую очередь киберслежка за представителями самопровозглашенных Донецкой и Луганской народных республик.

“В качестве инструмента украинские хакеры используют вредоносную программу, которую продукты ESET классифицируют как Win32/Prikormka”, — сообщают ESET в своем исследовании.

Как отмечается, впервые специалисты ESET ее обнаружили в третьем квартале 2015 года. Дальнейшие исследования показали, что данная угроза начала распространяться по меньшей мере с 2008 года.

Для распространения программы в ходе операции Groundbait в большинстве случаев использовались фишинговые электронные письма.

“В ходе исследования мы обнаружили большое количество образцов, каждый со своим ID кампании и привлекательным именем файла, чтобы вызвать интерес у жертвы”, — раскрывает методы украинских хакеров исследователь угроз ESET Антон Черепанов.

Злоумышленники, как хакеров называет компания ESET, применяют приемы социальной инженерии для убеждения жертвы открыть вредоносное письмо. В частности, используют провокационные и привлекательные названия писем электронной почты.

Кроме того, как отмечается, жители Донецкой и Луганской областей были не единственными мишенями операции.

В ESET утверждают, что под удар попали украинские государственные чиновники, политики, журналисты, представители “Правого сектора”, представители религиозных организаций.

В ходе исследования операции Groundbait специалисты ESET выявили ряд доменов командных серверов и IP-адресов. Большинство из них расположены в Украине и размещены украинскими хостинг-провайдерами.

Один из командных серверов gils.ho [.] Ua используется в операции с 2008 года, согласно информации, полученной от хостинг-компании.

Для прикрытия своей незаконной деятельности, хакеры создали поддельный веб-сайт, посвященный столице Украины — Киеву.

В ходе исследования специалисты ESET получили доступ к командной операции сервера Groundbait, который из-за неправильных настроек разрешил создание списков папки общего доступа.

“В определенный момент корневая директория содержала 33 подкаталога с отдельной папкой для каждой жертвы. Это означает, что сервер был использован для управления 33 компьютерами, инфицированными угрозой Prikormka”, — говорится в сообщении.

В качестве заключения специалисты ESET отмечают, что вредоносная программа Prikormka является первым обнаруженным украинским вредоносным программным обеспечением, которое используется для целенаправленных атак.