Госучреждения Узбекистана подверглись кибератакам через Office

ТАШКЕНТ, 26 мая — Sputnik. Российские эксперты в сфере защиты интернета от киберугроз зафиксировала волну кибератак на дипломатические и государственные учреждений в странах Средней и Юго-Восточной Азии. От действий злоумышленников в наибольшей степени пострадали пользователи в Казахстане, Узбекистане, Киргизии, Индии, Мьянме, Непале и Филиппинах, сообщает пресс-служба "Лаборатории Касперского".

Для заражения устройств во всех этих странах атакующие применяют программу-эксплойт, использующую одну и ту же уязвимость в приложении Microsoft Office. Своей приверженностью именно этому зловреду отличались уже известные в киберпреступном мире группировки Platinum, APT16, EvilPost и SPIVY, однако на этот раз следы ведут к новой группе — Danti.

В компании отметили, что первые признаки активности Danti были замечены в феврале этого года. Используемая этими злоумышленниками уязвимость CVE-2015-2545 была закрыта Microsoft еще в конце 2015 года, однако это обстоятельство не мешает им осуществлять свою масштабную кампанию кибершпионажа.

В частности хакеры распространяют вирус с помощью адресных фишинговых писем, а для того чтобы убедить получателя открыть сообщение, используют имена высокопоставленных государственных лиц в качестве отправителей. Как только эксплойт запускается на устройстве жертвы, в системе устанавливается программа-бэкдор, дающая атакующим полный доступ к конфиденциальным данным в зараженной сети.

Эксперты отмечают, что обнаружить факт атаки довольно сложно, так как используемый Danti эксплойт отличается повышенной сложностью и способен избегать детектирования встроенными средствами защиты Windows.

По мнению специалистов "Лаборатории Касперского", группировка каким-то образом связана с организаторами кампаний кибершпионажа NetTraveler и DragonOK или с китайскоговорящими хакерами.

"Мы уверены, что этот эксплойт еще покажет себя в будущем. Пока же мы продолжаем изучать связанные с этим зловредом инциденты и проверять, имеют ли они отношение к другим атакам в азиатском регионе", — отметил главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев.

Он добавил, что в целом волна атак, осуществленная с помощью всего лишь одной уязвимости, указывает на две тенденции: во-первых, злоумышленники все активнее уходят от дорогостоящей и длительной разработки сложных инструментов, в частности эксплойтов, а во-вторых, своевременное обновление ПО и закрытие уязвимостей в коммерческих компаниях и государственных организациях все еще не является повсеместно распространенной практикой.

В исследовательском центре призвали компании уделять больше внимания процессу установки патчей, поскольку именно эта мера позволит им защитить себя от атак с использованием уязвимостей.