Нитро-хакерские атаки

представляли Хакерские атаки Nitro собой целенаправленную кампанию по распространению вредоносного ПО в 2011 году, предположительно являвшуюся случаем корпоративного шпионажа . ^{[ 1 ]} По меньшей мере 48 подтвержденных компаний были заражены трояном Poison Ivy , который передавал интеллектуальную собственность на удаленные серверы. ^{[ 2 ]} Большая часть информации, известной об этих атаках, взята из официального документа , опубликованного компанией по кибербезопасности Symantec (переименованной в NortonLifeLock ).

Цели

Первоначальные нападения в апреле и мае 2011 года были направлены против правозащитных организаций, однако позднее в мае акцент сместился на автомобильные компании. ^{[ 1 ]}^{[ 3 ]} Затем, с июля по сентябрь, произошла еще одна серия нарушений, касающаяся большинства объектов химической промышленности и промышленности современных материалов , а также оборонного сектора. ^{[ 4 ]} Атаки были международными, их целью были компании в 20 странах, хотя большинство из них находились в США, Великобритании и Бангладеш. ^{[ 5 ]}^{[ 6 ]}

Методы

Цели, похоже, были тщательно выбраны и исследованы: целевые фишинговые электронные письма обычно рассылаются лишь небольшому числу сотрудников каждой компании и утверждают, что они отправлены от конкретных деловых партнеров или содержат обновления безопасности. ^{[ 7 ]}^{[ 4 ]} Эти электронные письма содержали вложение, которое заразило компьютер пользователя вирусом Poison Ivy , который затем позволил злоумышленникам отправлять удаленные команды и в конечном итоге получить доступ к ценным данным. Хакеры, как ни странно, фактически использовали отчет Symantec о своей деятельности как средство завоевать доверие жертв. После публикации статьи компания Nitro отправила новые электронные письма, которые выдавались за Symantec и содержали краткую информацию об атаке вместе с вложением под названием «the_nitro_attackspdf.7z». Этот исполняемый файл фактически создаст PDF-файл настоящего технического документа Symantec, но также заразит компьютер трояном удаленного доступа . ^{[ 3 ]}

Преступники

Что необычно для расследования кибербезопасности, исследователям удалось отследить некоторые атаки до человека по прозвищу Covert Grove, который владел виртуальным частным сервером в США, участвовавшим в кампании, хотя он действовал из провинции Хэйбэй , Китай. ^{[ 4 ]} Мужчина утверждал, что использовал сервер только для входа в систему обмена мгновенными сообщениями QQ , и следователям так и не удалось подтвердить его прямое участие или связь с какой-либо другой организацией. ^{[ 5 ]} Однако позже Symantec приписала той же группе Nitro серию атак в 2012 году с использованием в Java уязвимости нулевого дня под названием CVE-2012-4681. ^{[ 8 ]}

См. также

Ядовитый плющ (троян)

Ссылки

^ Jump up to: ^а ^б Финкл, Джим (31 октября 2011 г.). «Новая кибератака нацелена на химические компании: Symantec» . Рейтер.
^ Шварц, Мэтью Дж. (1 ноября 2011 г.). «Химические компании, нацеленные на вредоносное ПО Nitro» . ТЕМНОЕ Чтение .
^ Jump up to: ^а ^б Принс, Брайан (12 декабря 2011 г.). «Злоумышленники Nitro выдают себя за Symantec в попытке распространения вредоносного ПО» . Неделя безопасности.
^ Jump up to: ^а ^б ^с Кейзер, Грегг (31 октября 2011 г.). « Хакеры Nitro используют стандартное вредоносное ПО для кражи химических и оборонных секретов» . Компьютерный мир .
^ Jump up to: ^а ^б Эрик Чиен; Гэвин О'Горман. «Нитро-атаки: кража секретов химической промышленности» (PDF) . Симантек. Архивировано из оригинала (PDF) 23 декабря 2019 года.
^ Галлахер, Шон (1 ноября 2011 г.). « Фишеры «Нитро» атаковали химическую и оборонную компанию R&D» . Арс Техника .
^ Принс, Брайан (31 октября 2011 г.). «Скоординированные кибератаки поразили химические и оборонные предприятия» . Неделя безопасности.
^ Фишер, Деннис (30 августа 2012 г.). «Использование недостатков Java нулевого дня, связанных с командой Nitro Attack» . пост угрозы . Проверено 7 апреля 2021 г.

Внешние ссылки

Официальный документ Symantec об атаках (в архиве)

[Finkle-1] Jump up to: ^а ^б Финкл, Джим (31 октября 2011 г.). «Новая кибератака нацелена на химические компании: Symantec» . Рейтер.

[Schwartz-2] Шварц, Мэтью Дж. (1 ноября 2011 г.). «Химические компании, нацеленные на вредоносное ПО Nitro» . ТЕМНОЕ Чтение .

[PrinceDec-3] Jump up to: ^а ^б Принс, Брайан (12 декабря 2011 г.). «Злоумышленники Nitro выдают себя за Symantec в попытке распространения вредоносного ПО» . Неделя безопасности.

[Keizer-4] Jump up to: ^а ^б ^с Кейзер, Грегг (31 октября 2011 г.). « Хакеры Nitro используют стандартное вредоносное ПО для кражи химических и оборонных секретов» . Компьютерный мир .

[Symantec-5] Jump up to: ^а ^б Эрик Чиен; Гэвин О'Горман. «Нитро-атаки: кража секретов химической промышленности» (PDF) . Симантек. Архивировано из оригинала (PDF) 23 декабря 2019 года.

[Gallagher-6] Галлахер, Шон (1 ноября 2011 г.). « Фишеры «Нитро» атаковали химическую и оборонную компанию R&D» . Арс Техника .

[PrinceOct-7] Принс, Брайан (31 октября 2011 г.). «Скоординированные кибератаки поразили химические и оборонные предприятия» . Неделя безопасности.

[8] Фишер, Деннис (30 августа 2012 г.). «Использование недостатков Java нулевого дня, связанных с командой Nitro Attack» . пост угрозы . Проверено 7 апреля 2021 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]