Российские хакеры посредством Twitter получали доступ к секретной информации

Инфобизнес >> 29.07.2015
Российские хакеры посредством Twitter получали доступ к секретной информации

Компания FireEye сообщила об обнаружении вредоносной программы Hammertoss – она скрывает следы похищения информации из зараженных компьютеров. Добавляется, что этот инструмент использует группа искусных хакеров, чьи действия направлены в поддержку правительства России.

Отмечается, что вирус Hammertoss имитирует деятельность реального человека с соблюдением его рабочего графика, поэтому антивирусные программы не замечают ничего подозрительного.

Деятельность вредоносной программы состоит в следующем: попадая на компьютер жертвы, она начинает выполнять повседневные задачи. Следуя специальному алгоритму, программа ведет поиск сообщений от отдельных учетных записей из Twitter и получает от них дальнейшие указания действий, переданные в виде сетевого адреса и хэштега.

После этого Hammertoss переходит на Github, откуда загружает картинку, которая ничем не отличается от стандартной, однако содержит дополнительные указания от злоумышленников, спрятанные в коде файла. Следуя инструкциям, программа начинает процесс выгрузки данных с зараженного компьютера в облачное хранилище. Там к ней открыт доступ хакерам.

Как свидетельствует FireEye, обращение к Hammertoss происходит только для получения доступа к небольшому массиву особо ценной информации. Компания умалчивает, к чьим компьютерам программа уже получила доступ, поскольку в соответствие с соглашением, не имеет права раскрывать конфиденциальные данные клиентов.

Хакерскую группировку, осуществляющую кражу данных посредством вируса, окрестили Advanced Persistent Threat 29 (APT29). Первые следы взломов были обнаружены в начале 2015 года, но свою деятельность злоумышленники начали еще в 2014 году.

Характер интересующей APT29 информации натолкнул экспертов на мысль о ее связи с российским правительством. К тому же хакеры «отдыхают» в дни российских национальных праздников и работают по рабочему графику часового пояса Москвы.

В апреле компания сообщила о выявлении атаки APT28 на госорганы одного из государств. Целью хакеров тогда стали секретные данные относительно санкций, принятых по отношению к России.