Хакеры начали атаки на Крым с помощью «магии»

Киберпреступники применяют ранее неизвестные инструменты для атаки Крыма и Донбасса, выявили эксперты «Лаборатории Касперского». Злоумышленники используют программы CommonMagic и PowerMagic, которые позволяют делать скриншоты с устройства сотрудника атакуемой компании и отправлять их в облако.

Магическая атака полуострова

Хакеры совершают атаки на Крым и Донбасс при помощи ранее неизвестных специалистам по кибербезопасности программ, получивших название CommonMagic и PowerMagic. Они позволяют заполучить информацию с устройств жертвы, пишет РБК со ссылкой на экспертов «Лаборатории Касперского».

Вредоносные программы помогают делать скриншоты экрана устройства, к которому был получен доступ. Это позволяет злоумышленникам красть файлы и пересылать их в облако.

Атаки начались с 2021 г. Они направлены на правительственные, сельскохозяйственные и транспортные компании, рассказали изданию представители ИБ-компании.

Как крадутся данные

Эксперты «Лаборатории Касперского» предположили, что кибератака начинается с рассылки фишинговых писем по электронной почте. Такие письма отправляются от имени «госорганизаций». Когда сотрудник компании открывает ссылку в письме, то на его устройство скачивается вредоносный ZIP-архив.

Киберпреступники используют ранее неизвестные инструменты для атаки Крыма

В этом архиве содержатся два файла: один для усыпления бдительности (обычный документ распространенного PDF или .docx-формата), другой — вредоносный LNK-файл с двойным расширением. Именно при нажатии на этот файл, на устройство попадает бэкдор PowerMagic.

PowerMagic получает команды из удаленной папки, расположенной в облаке. После того как программа выполняет команды, она загружает файлы в облако. Вредоносная программа остается в системе даже после перезагрузки устройства, отметили эксперты по кибербезопасности.

PowerMagic в том числе используют для развертывания CommonMagic, которая состоит из нескольких модулей. Она более опасна, так как может красть файлы не только с самого устройства, но и с внешних носителей, подключенных к нему, а также делать скрины экрана каждые три секунды и отправлять их злоумышленникам.

Нарастающие киберугрозы

Как писал CNews в январе 2023 г., количество кибератак на российский госсектор в 2022 г. выросло в три раза. Самым популярным инструментом хакеров стали DDoS- и веб-атаки на порталы госорганов. Вместе с количеством атак эксперты отмечали и рост утечек конфиденциальной информации.

Помимо этого, и квалификация злоумышленников стала повышаться. Хакеры-любители стали примыкать к более профессиональным киберпреступникам. А пыл хакактивистов, которые действуют по политическим соображениям и используют незамысловатые инструменты для кибератак, угас. Вместо этого киберпреступники начали организовывать более сложные атаки.

Это, в свою очередь, чревато дополнительными угрозами, под которые попадает государственный и промышленный сектор. Потому что такие отрасли более привлекательны для шпионажа, отмечали эксперты, опрошенные «Коммерсантом». По их мнению, в будущем целью хакеров станет и банковский сектор для финансового обеспечения кибератак. Профессиональные атаки станут менее заметными и более опасными, если оставить контур компании без постоянного мониторинга со стороны специалистов по кибербезопасности, а также большого объема средств защиты.