Буквально вчера мы писали о том, как находящиеся на вооружении российской армии комплексы попадают к американским инженерам. Ситуация довольно тревожная, поскольку позволяет специалистам из США получить массу ценных данных и выработать наиболее эффективные средства для противодействия в режиме реального боя. Не внушает оптимизма и тот факт, что внутри основных боевых российских систем обнаружилась электроника, выпущенная американскими или европейскими компаниями. Одним словом, шпионаж носит массовый характер, а в ход идут все средства. Не последнюю скрипку в подрыве боеспособности потенциального противника играют хакеры.

Как стало известно, совсем недавно была проведены точечная атака, направленная против нескольких производителей современных боевых систем для американской армии. Самым дерзким стало проникновение на внутренние серверы компании, занимающейся поставками истребителей 5-го поколения F-35 Lightning II. Вначале всё идёт по уже проторённому сценарию, а самым слабым местом стали сотрудники предприятия, в адрес которых приходят фишинговые письма. Внутри располагается архив с файлом «Company & Benefits.pdf.lnk». После запуска активируется соединение с удалённым сервером, отвечающее за многоступенчатое заражение системы вредоносными объектами.

Но если первая часть атаки проходит по стандартному сценарию, то дальше всё становится немного иначе. Так, вместо традиционных утилит cmd.exe и powershell.exe идёт обращение к редко используемому файлу по адресу C:\Windows\System32\ForFiles.exe. После этого идёт запуск семиэтапной последовательности команд, во время которой наблюдается активное использование различных методик запутывания кода (обфускация), что позволяет усложнить анализ и декомпиляцию. И вот здесь и начинается самое интересное, ведь в какой-то момент запускается скрипт, анализирующий множество параметров системы. Например, объём памяти должен быть 4 Гб и больше, а операционная система установлена больше трёх дней назад. В случае, если заражённый компьютер не прошёл проверку, не удовлетворив требования скрипта даже по одному пункту, то уже работающий вирус выключает сетевой адаптер, перекрывая доступ к интернету, активирует встроенный файервол в режим полной блокировки любого сетевого трафика, а после безвозвратно стирает все файлы на встроенных жёстких дисках и любых других накопителях. В конце работы компьютер мирно выключается. Что любопытно, если вдруг язык системы установлен на русский или китайский, то вирус просто удалит себя самостоятельно и покинет систему без вреда для компьютера и любых других данных.

В случае, если система проходит проверку, то происходит скачивание вируса header.png. Предварительно скрипт заносит себя в исключения WindowsDefender, отключает PowerShell, а сам файл надёжно защищён с помощью шифрования AES. Специалисты американской компании провалили все попытки пробиться внутрь файла, а извлечённые данные оказались мусорными. Предполагается, что хакеры успели подменить все файлы, поскольку специалисты по кибербезопасности обнаружили атаку после того, как она полностью завершилась. Что было украдено, а также какой потенциальный вред нанесён военным подрядчикам, не указывается. Есть мнение, что атака осуществлялась группировкой хакеров APT37 (Konni) из Северной Кореи, но с таким же успехом это могут быть представители других стран. Кто бы не стоял за попыткой взлома ключевой военной компании США, атака проводилась специалистами высочайшего уровня, ведь хакеры почти не оставили следов. По факту изучения атаки было проведено исследование, в результате чего получить любые ценные сведения о хакерах не удалось.

Эксперты отмечают, что подобные взломы будут происходить всё чаще, поскольку военные действия с применением мощнейших систем вооружения грозят уничтожить всю планету. Ну а кибервойны только набирают силу, поэтому стоит готовиться к самым неожиданным сценариям. Источник.