Страны НАТО попали под прицел кибершпионов

Эксперты команды Cisco Talos предупредили о новой кампании по кибершпионажу, нацеленной на правительства стран-участниц Североатлантического альянса. В рамках кампании злоумышленники рассылают электронные письма на тему якобы сделанного генсеком НАТО заявления по итогам заседания Совета Россия-НАТО. К письму прикреплен специально сформированный RTF-файл, используемый для доставки эксплоитов для уязвимостей в Adobe Flash.

По данным исследователей, начало кампании относится к концу декабря 2016 года, а сами атаки носят разведывательный характер. Документ содержит копию официального заявления НАТО, опубликованного на сайте организации. Прилагаемый RTF-файл включает ряд встроенных объектов, в том числе OLE и Adobe Flash объекты, которые извлекаются в определенной последовательности. Как пояснили специалисты, схема работает по принципу матрешки: OLE объект содержит Adobe Flash объект, из которого посредством выполнения сценария ActionScript извлекается еще один объект Adobe Flash.

ActionScript отправляет на C&C-сервер злоумышленников HTTP-запрос, содержащий информацию о зараженной системе (в том числе данные о версии ОС или используемой версии Adobe Flash). На основе этих данных злоумышленники принимают решение о целесообразности атаки. На финальном этапе на компьютер пользователя загружается и исполняется эксплоит для Adobe Flash.

Напомним, ранее стало известно о кибератаке на компьютерную систему Министерства иностранных дел Польши. Как сообщалось, несколько сотрудников ведомства получили электронные письма, якобы содержащие заявление генерального секретаря НАТО по итогам заседания Россия-НАТО. В причастности к кибератаке подозревается хакерская группировка Fancy Bear.